Skip to main content

filter Veilige HTML

Gebruikers kunnen op verschillende manieren HTML invoeren in Blackboard. Ze kunnen bijvoorbeeld HTML invoeren met de inhoudseditor in blogs en discussieruimten, en via het uploaden van HTML-bestanden. In het verleden kon er een beveiligingsprobleem worden geïntroduceerd omdat gebruikers potentieel gevaarlijke tags konden invoeren, zoals scripttags. Dergelijke tags kunnen worden gebruikt om kwaadaardige scripts uit te voeren in Blackboard, waardoor andere gebruikers worden blootgesteld aan aanvallen. Dit wordt 'cross scripting' genoemd en stelt een gebruiker in staat om controle te hebben over de browser van andere gebruikers.

Veilige HTML-filters geven je meer controle over het type HTML dat Studenten kunnen invoeren, waardoor door de gebruiker aangeleverde HTML veiliger kan worden gebruikt in Blackboard. De functie vervangt een eerdere HTML-sanitizer door de open source beveiligingsbibliotheek van de AntiSamy API van het Open Web Application Security Project. De nieuwe API zorgt ervoor dat HTML van gebruikers voldoet aan de regels van een toepassing.

Blackboard biedt beheerders een default-policy.xmlbestand met Safe HTML-regels. Beheerders kunnen de HTML-codes en kenmerken in het default-policy.xml-bestand definiëren die zijn toegestaan op hun Blackboard-instantie, op basis van het risicotolerantieniveau van hun organisatie.

Als je je default-policy.xmlbestand hebt aangepast en Blackboard wijzigingen aanbrengt in de standaardversie van het bestand, wordt de naam van het vorige Blackboard-standaardbestand gewijzigd om aan te geven dat het een oude versie is. Het nieuwe default-policy.xmlbestand van Blackboard wordt toegevoegd aan je beleid en wordt ingesteld als je actieve beleid. Je krijgt via e-mail een bericht van de bestandsupdate. Je eigen aangepaste beleid blijft ongewijzigd.

Opmerking

Veilige HTML is alleen van toepassing op gebruikers die niet beschikken over de bevoegdheid Vertrouwde inhoud met scripts toevoegen/bewerken. Gebruikers met deze bevoegdheid kunnen vertrouwde HTML/HTML zonder beperkingen invoeren, wat betekent dat ze zich niet hoeven te houden aan de regels van veilige HTML. Standaard geeft Blackboard deze bevoegdheid aan beheerders, cursusbouwers, beoordelaars, cursusleiders en onderwijsassistenten. Alle andere rollen beschikken standaard niet over deze bevoegdheid, maar de bevoegdheid kan indien nodig worden toegevoegd.

Selecteer in het configuratiescherm voor systeembeheer de optie filter Veilige HTML in het menu Beveiliging.

Belangrijk

SaaS-omgevingen van Blackboard kunnen niet worden geconfigureerd om aangepaste bestandstypen te filteren via HTML-filters.

Een beleid aanpassen

Beheerders kunnen de lijst met toegestane HTML-codes en -kenmerken in het default-policy.xml bestand aanpassen op basis van de behoeften van hun organisatie. Dit wordt echter afgeraden. Beheerders mogen het beleid alleen aanpassen als er sprake is van een specifieke gebruikssituatie die niet door het standaardbeleid wordt ondersteund.

  1. Selecteer in het configuratiescherm voor systeembeheer de optie filter Veilige HTML in het menu Beveiliging.

  2. Selecteer filter Veilige HTML voor inhoudseditor om de beleidslijst te openen.

  3. Open het menu voor het default-policy.xml bestand en selecteer Downloaden. Sla het bestand op je computer op.

  4. Wijzig de SafeHTML-regel om te voldoen aan de behoeften van je organisatie.

  5. Als je het bestand hebt gewijzigd, sla je het op onder een nieuwe naam.

  6. Ga terug naar de pagina filter Veilige HTML voor inhoudseditor om toegang te krijgen tot de beleidslijst.

  7. Selecteer Uploaden om de pagina Veilig HTML-beleid voor uploaden te openen en blader naar het nieuwe bestand.

  8. Voer desgewenst een opmerking in.

  9. Selecteer Verzenden om het nieuwe bestand te uploaden.

  10. Het nieuwe bestand verschijnt in de lijst met beleidsbestanden. Selecteer in het menu van het bestand Activeren om dit het actieve beleidsbestand in je Blackboard-omgeving te maken.

Een beleid testen

Beheerders kunnen beleidsregels testen om er zeker van te zijn dat ze goed werken en de gewenste resultaten opleveren.

  1. Selecteer in het configuratiescherm voor systeembeheer de optie filter Veilige HTML in het menu Beveiliging.

  2. Selecteer filter Veilige HTML voor inhoudseditor.

  3. Selecteer in het menu van het beleidsbestand Testbeleid.

  4. Voer in het veld Voer code (HTML, JS) in om te testen de HTML-code in die u wilt testen.

  5. Selecteer Test.

Het systeem produceert testresultaten, gebaseerd op de ingevoerde HTML-code, zoals deze:

  • Er wordt een nieuw veld opgeschoonde uitvoer weergegeven met de opgeschoonde uitvoer van het systeem voor de HTML die u hebt ingevoerd.

  • Als de ingevoerde scripttag niet is toegestaan door het beleid, verschijnt er een bericht met de mededeling dat het script vanwege veiligheidsredenen niet is toegestaan.

  • Een tag kan een kenmerk bevatten dat niet kan worden verwerkt. In dit geval verschijnt er een melding met de tag die een kenmerk bevat dat niet kan worden verwerkt en daarom is uitgefilterd.

HTML-bodytags en -attributen

Het default-policy.xmlbestand staat deze bodytags en attributen toe.

Elementen groeperen

tabel 20. Elementen groeperen

Tag

Kenmerken

div

id, class, lang, dir, title, style, align

span

id, class, dir, title, style, align, xml:lang



Koppen

tabel 21. Koppen

Tag

Kenmerken

h1

id, class, lang, dir, title, style, align

h2

id, class, lang, dir, title, style, align

h3

id, class, lang, dir, title, style, align

h4

id, class, lang, dir, title, style, align

h5

id, class, lang, dir, title, style, align

h6

id, class, lang, dir, title, style, align



Adres

tabel 22. Adres

Tag

Kenmerken

adres

id, class, lang, dir, title, style



Lettertypestijl en HR-tags en -attributen

Het default-policy.xml-bestand wordt geleverd met deze lettertype-, stijl- en HR-tags en -kenmerken.

Tekenstijl
tabel 23. Tekenstijl

Tag

Kenmerken

tt

id, class, lang, dir, title, style

i

id, class, lang, dir, title, style

b

id, class, lang, dir, title, style

big

id, class, lang, dir, title, style

small

id, class, lang, dir, title, style



HR
tabel 24. HR

Tag

Attribuut

hr

id, class, lang, dir, title, style



Tags en kenmerken weergeven

Het default-policy.xml bestand wordt geleverd met deze lijsttags en attributen.

Ongeordende lijsten, geordende lijsten en lijstitems
tabel 25. Ongeordende lijsten, geordende lijsten en lijstitems

Tag

Kenmerken

ul

id, class, lang, dir, title, style

li

id, class, lang, dir, title, style

ol

id, class, lang, dir, title, style



Definities lijsten
tabel 26. Definities lijsten

Tag

Kenmerken

dl

id, class, lang, dir, title, style

dt

id, class, lang, dir, title, style

dd

id, class, lang, dir, title, style

dir

id, class, dir, title, style, compact

menu

id, class, lang, dir, title, style, compact



Linktags en attributen

Het default-policy.xml bestand wordt geleverd met deze linktags en attributen.

Koppelingen
tabel 27. Koppelingen

Tag

Kenmerken

a

class, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape

link

Zie http://www.w3schools.com/tags/tag_link.asp.



Teksttags en attributen

Het default-policy.xml bestand wordt geleverd met deze teksttags en attributen.

Woordgroep elementen
tabel 28. Woordgroep elementen

Tag

Kenmerken

em

id, class, lang, dir, title, style

strong

id, class, lang, dir, title, style

cite

id, class, lang, dir, title, style

dfn

id, class, lang, dir, title, style

code

id, class, lang, dir, title, style

samp

id, class, lang, dir, title, style

kbd

id, class, lang, dir, title, style

var

id, class, lang, dir, title, style

abbr

id, class, lang, dir, title, style

acronym

id, class, lang, dir, title, style



Citaten
tabel 29. Citaten

Tag

Kenmerken

blockquote

id, class, lang, dir, title, style

q

id, class, lang, dir, title, style



Subscript en superscript
tabel 30. Subscript en superscript

Tag

Kenmerken

sub

id, class, lang, dir, title, style

sup

id, class, lang, dir, title, style



Regels en alinea's
tabel 31. Regels en alinea's

Tag

Kenmerken

p

id, class, lang, dir, title, stye, align

br

id, class, title, style, clear

pre

id, class, lang, dir, title, style



Documentwijzigingen markeren
tabel 32. Documentwijzigingen markeren

Tag

Kenmerken

ins

id, class, lang, dir, title, style

del

id, class, lang, dir, title, style



Tabeltags en attributen

Het default-policy.xml-bestand wordt geleverd met deze tabeltags en attributen.

Tabel
tabel 33. Tabel

Tag

Kenmerken

table

id, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir



Bijschriften bij tabellen
tabel 34. Bijschriften bij tabellen

Tag

Kenmerken

caption

id, lang, dir, title, style



Rij groepen
tabel 35. Rij groepen

Tag

Kenmerken

thead

cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign

tfoot

cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign

tbody

id, class, lang, dir, title, style, align, char, charoff, valign

pre

id, class, lang, dir, title, style



Kolom groepen
tabel 36. Kolom groepen

Tag

Kenmerken

colgroup

span, width, id, class, lang, dir, title, style, align, char, charoff, valign

col

span, width, id, class, lang, dir, title, style, align, char, charoff, valign



Tabel rijen
tabel 37. Tabel rijen

Tag

Kenmerken

tr

id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign



Tabelcellen
tabel 38. Tabelcellen

Tag

Kenmerken

de

abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

td

abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign



Ingesloten media en mashup-tags en -attributen

Het default-policy.xml-bestand wordt geleverd met deze ingesloten media- en mashup-tags en -attributen.

Partners
tabel 39. Partners

Tag

Kenmerken

script

type, charset, src

iframe

src=begint met SafeHTML Beperkte YouTube-bronnen of bouwstenen, lengte, naam, breedte, hoogte, id, klasse, titel, stijl, uitlijnen, frameborder, margebreedte, margehoogte, scrollen



Afbeeldingen
tabel 40. Afbeeldingen

Tag

Kenmerken

img

src, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace



Inloggen
tabel 41. Inloggen

Tag

Kenmerken

object

classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace

param

name=movie, value=begint met SafeHTML, YouTube-bronnen met beperkingen, name = allowscriptaccess, value=true, name=allowfullscreen, value=true|false

insluiten

src=starts met SafeHTML Beperkte Youtube Bronnen, allowScriptAccess=never, allowNetworking=intern, type=application/x-shockwave-flash, id, breedte, hoogte, type, kwaliteit, schaal, salign, wmode, base, name, align, hspace, vspace, bgcolor, geluid, voortgang, swstretchstyle, swstretchalign, swstretchvalign

iframe

src=begint met http(s)://www.youtube.com of http(s)://www.youtube-nocookie.com/, longdesc, naam, breedte, hoogte, id, klasse, titel, stijl, uitlijnen, frameborder, marginwidth, marginheight, scrollen



Slideshare
tabel 42. Slideshare

Tag

Kenmerken

object

classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace

param

name=movie, value=begint met http(s)://static.slidesharecdn.com/ of http(s)://www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true|false, name=wmode, value=transparent

insluiten

src=begint met http(s)://static.slidesharecdn.com/ of http(s)://www.slideshare.net/, allowScriptAccess=never, allowNetworking=never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign

iframe

src=begint met http(s)://static.slidesharecdn.com/ of http(s)://www.slideshare.net/, hoogte, breedte, kaderrand, margebreedte, margehoogte, scrollen



Andere mediatypen, waaronder Flash
tabel 43. Andere mediatypen, waaronder Flash

Tag

Kenmerken

Opmerkingen

object

codebase, name, align, hspace, vspace, bgcolor, classid

param

name=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=false

Kan andere parameters bevatten, maar deze moeten altijd aanwezig zijn voor bronnen anders dan YouTube en Slideshare.

insluiten

allowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang

allowScriptAccess=never moet altijd aanwezig zijn voor Flash

allowNetworking=none moet altijd aanwezig zijn voor Flash

allowFullScreen=false moet altijd aanwezig zijn voor Flash

'type' is op dit moment niet beperkt tot onze ondersteunde mediatypen, maar het standaardbeleid zal uiteindelijk beperkt zijn tot:

  • video/quicktime

  • application/x-shockwave-flash

  • application/x-director

  • application/x-mplayer2

iframe

src=restricted list, longdesc, naam, breedte, hoogte, id, klasse, titel, stijl, uitlijnen, frameborder, marginwidth, marginheight, scrollen