Filtres HTML sécurisés
Les utilisateurs peuvent saisir du code HTML dans Blackboard de différentes manières. Par exemple, les utilisateurs peuvent entrer du code HTML à l'aide de l'éditeur de contenu dans les blogs et les plates-formes de discussion, et par le biais de téléchargements de fichiers HTML. Par le passé, une menace pour la sécurité a été introduite, car les utilisateurs pouvaient entrer des balises potentiellement dangereuses, telles que des balises de script. Ces balises peuvent être utilisées pour exécuter des scripts malveillants dans Blackboard, exposant ainsi d'autres utilisateurs à des attaques. C'est ce que l'on appelle la Cross Scripting, qui permet à un utilisateur de contrôler d'autres navigateurs d'utilisateurs.
Les filtres HTML sécurisés vous permettent de mieux contrôler le type de code HTML que les étudiants peuvent saisir, ce qui rend le code HTML fourni par l'utilisateur plus sûr à utiliser dans Blackboard. Cette fonctionnalité remplace un ancien assainisseur HTML par la bibliothèque de sécurité open source issue de l'API AntiSamy de l'Open Web Application Security Project. La nouvelle API garantit que le format HTML fourni par l'utilisateur est conforme aux règles d'une application.
Blackboard fournit aux administrateurs un fichier default-policy.xml contenant des règles HTML sécurisées. Les administrateurs peuvent définir les balises HTML et les attributs du fichier default-policy.xml qui sont autorisés sur leur instance Blackboard, en fonction du niveau de tolérance au risque de leur organisation.
Si vous avez personnalisé votre fichier default-policy.xml et que Blackboard apporte des modifications à la version par défaut du fichier, le fichier par défaut Blackboard précédent est renommé pour indiquer qu'il s'agit d'une ancienne version. Le nouveau fichier default-policy.xml de Blackboard est ajouté à vos politiques et est défini comme votre stratégie active. Vous serez informé de la mise à jour du fichier par e-mail. Votre propre politique personnalisée restera inchangée.
Note
Le code HTML sécurisé ne s'applique qu'aux utilisateurs qui ne disposent pas du privilège Ajouter/modifier un contenu sécurisé (également appelé privilège Ajouter/modifier un contenu sécurisé avec des scripts). Les utilisateurs disposant de ce privilège peuvent saisir des codes HTML non restreints/fiables, ce qui signifie qu'ils ne sont pas liés aux règles HTML sécurisées. Par défaut, Blackboard accorde ce privilège aux administrateurs, aux créateurs de cours, aux évaluateurs, aux professeurs et aux assistants. Tous les autres rôles ne disposent pas de ce privilège par défaut, mais ils peuvent être ajoutés en fonction des besoins.
Dans le panneau de configuration de l'administrateur, sélectionnez Filtres HTML sécurisés dans le menu Sécurité.
Important
Les environnements SaaS Blackboard ne peuvent pas être configurés pour filtrer les types de fichiers personnalisés via des filtres HTML.
Personnaliser une politique
Les administrateurs peuvent personnaliser la liste des balises et attributs HTML autorisés dans le fichier default-policy.xml en fonction des besoins de leur organisation. Cependant, cela doit rester un événement rare. Les administrateurs doivent uniquement personnaliser la stratégie s'ils rencontrent un cas d'utilisation spécifique que la règle ne prend pas en charge.
Dans le Panneau de configuration de l'administrateur, sélectionnez Filtres HTML sécurisés dans le menu Sécurité.
Sélectionnez Filtre HTML sécurisé pour l'éditeur de contenu pour accéder à la liste des règles.
Accédez au menu du fichier
default-policy.xmlet sélectionnez Télécharger. Enregistrez le fichier sur votre ordinateur.Apportez les modifications souhaitées à la règle SafeHTML pour répondre aux besoins de votre communauté.
Une fois que vous avez modifié le fichier, saisissez un nouveau nom.
Revenez à la page Filtre HTML sécurisé pour l'éditeur de contenu pour accéder à la liste des règles.
Sélectionnez Télécharger pour accéder à la page Politique HTML sécurisée pour le téléchargement et recherchez votre nouveau fichier.
Vous pouvez également saisir un commentaire.
Sélectionnez Soumettre pour télécharger le nouveau fichier.
Le nouveau fichier apparaît dans la liste des fichiers de règle. Dans le menu du fichier, sélectionnez Activer pour en faire le fichier de politique actif dans votre environnement Blackboard.
Tester une politique
Les administrateurs peuvent tester les stratégies pour s'assurer de leur bon fonctionnement et obtenir les résultats souhaités.
Dans le panneau de configuration de l'administrateur, sélectionnez Filtres HTML sécurisés dans le menu Sécurité.
Sélectionnez Filtre HTML sécurisé pour l'éditeur de contenu.
Dans le menu du fichier de règles, sélectionnez Tester la politique.
Dans le champ Entrez le code (HTML, JS) à tester, entrez le code HTML que vous souhaitez tester.
Sélectionnez Tester.
Le système fournit des résultats des tests, en fonction du code HTML saisi, tels que ceux-ci :
Un nouveau champ de sortie désinfecté apparaît, vous indiquant la sortie nettoyée par le système pour le code HTML que vous avez saisi.
Si la balise de script que vous avez saisie n'est pas autorisée par la règle, un message s'affiche pour vous informer que le script n'est pas autorisé pour des raisons de sécurité.
Une balise peut contenir un attribut qui ne peut pas être traité. Dans ce cas, un message apparaît avec la balise qui contient un attribut qui ne peut pas être traité et qui a été filtré.
Balises et attributs du corps HTML
Le fichier default-policy.xml autorise ces balises et attributs de corps.
Regroupement d'éléments
Balise | Attributs |
|---|---|
div | id, class, lang, dir, title, style, align |
span | id, class, dir, title, style, align, xml:lang |
Titres
Balise | Attributs |
|---|---|
h1 | id, class, lang, dir, title, style, align |
h2 | id, class, lang, dir, title, style, align |
h3 | id, class, lang, dir, title, style, align |
h4 | id, class, lang, dir, title, style, align |
h5 | id, class, lang, dir, title, style, align |
h6 | id, class, lang, dir, title, style, align |
Adresse
Balise | Attributs |
|---|---|
adresse | id, class, lang, dir, title, style |
Style de police et balises et attributs HR
Le fichier default-policy.xml est livré avec ces styles de police et ces balises et attributs HR.
Balise | Attributs |
|---|---|
tt | id, class, lang, dir, title, style |
i | id, class, lang, dir, title, style |
b | id, class, lang, dir, title, style |
big | id, class, lang, dir, title, style |
small | id, class, lang, dir, title, style |
Balise | Attribut |
|---|---|
hr | id, class, lang, dir, title, style |
Répertorier les balises et les attributs
Le fichier default-policy.xml est livré avec ces balises et attributs de liste.
Balise | Attributs |
|---|---|
ul | id, class, lang, dir, title, style |
li | id, class, lang, dir, title, style |
ol | id, class, lang, dir, title, style |
Balise | Attributs |
|---|---|
dl | id, class, lang, dir, title, style |
dt | id, class, lang, dir, title, style |
dd | id, class, lang, dir, title, style |
dir | id, class, dir, title, style, compact |
menu | id, class, lang, dir, title, style, compact |
Balises et attributs de liens
Le fichier default-policy.xml est livré avec ces balises et attributs de lien.
Balise | Attributs |
|---|---|
a | class, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape |
lien | Consultez la page http://www.w3schools.com/tags/tag_link.asp. |
Balises et attributs de texte
Le fichier default-policy.xml est livré avec ces balises et attributs de texte.
Balise | Attributs |
|---|---|
em | id, class, lang, dir, title, style |
strong | id, class, lang, dir, title, style |
cite | id, class, lang, dir, title, style |
dfn | id, class, lang, dir, title, style |
code | id, class, lang, dir, title, style |
samp | id, class, lang, dir, title, style |
kbd | id, class, lang, dir, title, style |
var | id, class, lang, dir, title, style |
abbr | id, class, lang, dir, title, style |
acronym | id, class, lang, dir, title, style |
Balise | Attributs |
|---|---|
blockquote | id, class, lang, dir, title, style |
q | id, class, lang, dir, title, style |
Balise | Attributs |
|---|---|
sub | id, class, lang, dir, title, style |
sup | id, class, lang, dir, title, style |
Balise | Attributs |
|---|---|
p | id, class, lang, dir, title, stye, align |
br | id, class, title, style, clear |
pre | id, class, lang, dir, title, style |
Balise | Attributs |
|---|---|
ins | id, class, lang, dir, title, style |
del | id, class, lang, dir, title, style |
Balises et attributs des tableaux
Le fichier default-policy.xml est livré avec ces balises et attributs de table.
Balise | Attributs |
|---|---|
table | id, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir |
Balise | Attributs |
|---|---|
caption | id, lang, dir, title, style |
Balise | Attributs |
|---|---|
fil | cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign |
tfoot | cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign |
tbody | id, class, lang, dir, title, style, align, char, charoff, valign |
pre | id, class, lang, dir, title, style |
Balise | Attributs |
|---|---|
colgroup | span, width, id, class, lang, dir, title, style, align, char, charoff, valign |
col | span, width, id, class, lang, dir, title, style, align, char, charoff, valign |
Balise | Attributs |
|---|---|
tr | id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
Balise | Attributs |
|---|---|
ième | abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
td | abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign |
Tags et attributs multimédia et applications Web hybrides intégrés
Le fichier default-policy.xml est livré avec ces balises et attributs multimédia et mashup intégrés.
Balise | Attributs |
|---|---|
scénario | type, charset, src |
iframe | src=starts with SafeHTML Restricted Youtube Sources ou blocs de construction, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scroll |
Balise | Attributs |
|---|---|
img | src, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace |
Balise | Attributs |
|---|---|
object | classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace |
param | name=movie, value=commence par SafeHTML Restricted Youtube Sources, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false |
incorporer | src=commence par des sources Youtube restreintes à SafeHTML, AllowScriptAccess=Never, AllowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign |
iframe | src=commence par http (s) //www.youtube.com ou http (s) //www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, scroll |
Balise | Attributs |
|---|---|
object | classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace |
param | name=movie, value=commence par http (s) http://static.slidesharecdn.com/ ou http (s) //www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent |
incorporer | src=commence par http (s) :\static.slidesharecdn.com/ ou http (s) //www.slideshare.net/, AllowScriptAccess=Never, AllowNetworking=Never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign |
iframe | src=commence par http (s) http://static.slidesharecdn.com/ ou http (s) //www.slideshare.net/, hauteur, largeur, cadre, marge largeur, hauteur de marge, défilement |
Balise | Attributs | Commentaires |
|---|---|---|
object | codebase, name, align, hspace, vspace, bgcolor, classid | |
param | name=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=false | Peut contenir d'autres paramètres, mais ceux-ci doivent toujours être présents pour d'autres sources que YouTube et SlideShare. |
incorporer | allowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang | allowScriptAccess=never doit toujours être présent pour Flash allowNetworking=none doit toujours être présent pour Flash allowFullScreen=false doit toujours être présent pour Flash « type » n'est actuellement pas restreint à nos types de ressources multimédia prises en charge, mais la stratégie par défaut sera finalement limitée à :
|
iframe | src=liste restreinte, longdesc, nom, largeur, hauteur, identifiant, classe, titre, style, align, frameborder, marginwidth, marginheight, scrolling |