Filtros HTML seguros

Os usuários podem inserir HTML no Blackboard de várias maneiras. Por exemplo, os usuários podem inserir HTML usando o editor de conteúdo em blogs e fóruns de discussão e por meio de carregamentos de arquivos HTML. No passado, uma ameaça de segurança era introduzida porque os usuários podiam inserir tags potencialmente perigosas, como tags de script. Essas tags podem ser usadas para executar scripts maliciosos no Blackboard, expondo outros usuários a ataques. Isso é chamado de script cruzado, que permite que um usuário tenha controle sobre outros navegadores de usuários.

Os filtros HTML seguros fornecem mais controle sobre o tipo de HTML que os Alunos podem inserir, tornando o HTML fornecido pelo usuário mais seguro para uso no Blackboard. O recurso substitui um desinfetante HTML anterior pela biblioteca de segurança de fonte aberta da API AntiSamy do Open Web Application Security Project. A nova API garante que o HTML fornecido pelo usuário esteja em conformidade com as regras de um aplicativo.

A Blackboard fornece aos administradores um arquivo default-policy.xml contendo regras HTML seguras. Os administradores podem definir as tags e atributos HTML no arquivo default-policy.xml que são permitidos em sua instância do Blackboard, com base no nível de tolerância ao risco de sua organização.

Se você personalizou seu arquivo default-policy.xml e o Blackboard faz alterações na versão padrão do arquivo, o arquivo padrão anterior do Blackboard é renomeado para indicar que é uma versão antiga. O novo arquivo default-policy.xml do Blackboard é adicionado às suas políticas e é definido como sua política ativa. Você será informado da atualização do arquivo por e-mail. Sua própria política personalizada permanece inalterada.

Nota

O HTML seguro só é aplicável a usuários que não têm o privilégio Adicionar/Modificar conteúdo confiável, também chamado de privilégio Adicionar/Editar conteúdo confiável com scripts. Os usuários com esse privilégio podem inserir HTML irrestrito/confiável, o que significa que não estão vinculados às regras de HTML seguro. Por padrão, o Blackboard concede esse privilégio a administradores, criadores de cursos, avaliadores, instrutores e assistentes de ensino. Todas as outras funções não têm esse privilégio por padrão, mas isso pode ser adicionado conforme a necessidade.

No Painel do administrador, selecione filtro HTML seguro no menu Segurança.

Importante

Os ambientes de Software como serviço da Blackboard não podem ser configurados para filtrar tipos de arquivos personalizados por meio de filtros HTML.

Personalizar uma política

Os administradores podem personalizar a lista de tags e atributos HTML permitidos no arquivo default-policy.xml com base nas necessidades de suas organizações. No entanto, isso deve ser um evento raro. Os administradores só precisam personalizar a política se tiverem um caso de uso específico com que a política não é compatível.

No Painel do administrador, selecione filtro HTML seguro no menu Segurança.
Clique em filtro HTML seguro para Editor para acessar a lista de políticas.
Acesse o menu do arquivo default-policy.xml e selecione Download. Salve o arquivo em seu computador.
Faça as alterações na regra HTML seguro para atender às necessidades da sua organização.
Quando você editar o arquivo, digite um novo nome.
Retorne à página filtro HTML seguro para Editor para acessar a lista de políticas.
Clique em Upload para acessar a página Política HTML segura de upload e procurar seu novo arquivo.
Opcionalmente, digite um comentário.
Clique em Enviar para carregar o novo arquivo.
O novo arquivo será exibido na lista de arquivos de política. No menu do arquivo, selecione Ativar para torná-lo o arquivo de política ativo em seu ambiente Blackboard.

Testar uma política

Os administradores podem testar as políticas para garantir que estejam funcionando corretamente e gerando os resultados desejados.

No Painel do administrador, selecione filtro HTML seguro no menu Segurança.
Clique em filtro HTML seguro para Editor.
No menu do arquivo de política, selecione Política de Teste.
No campo Digite o código (HTML, JS) para testar insira qualquer código HTML que você deseja testar.
Clique em Testar.

O sistema fornece resultados de testes, com base no código HTML inserido, como estes:

Um novo campo Saída higienizada é exibido mostrando a saída limpa do sistema para o HTML inserido.
Se a tag de script que você inseriu não for permitida pela política, será exibida uma mensagem informando que o script não é permitido por motivos de segurança.
Uma tag pode conter um atributo que não pode ser processado. Neste caso, uma mensagem é exibida com a tag que contém um atributo que não pode ser processado e foi filtrado.

Tags e atributos do corpo HTML

O arquivo default-policy.xml permite essas tags de corpo e atributos.

Agrupando elementos

tabela 20. Agrupando elementos

Tag	Atributos
div	id, class, lang, dir, title, style, align
span	id, class, dir, title, style, align, xml:lang

Cabeçalhos

tabela 21. Cabeçalhos

Tag	Atributos
h1	id, class, lang, dir, title, style, align
h2	id, class, lang, dir, title, style, align
h3	id, class, lang, dir, title, style, align
h4	id, class, lang, dir, title, style, align
h5	id, class, lang, dir, title, style, align
h6	id, class, lang, dir, title, style, align

Endereço

tabela 22. Endereço

Tag	Atributos
endereço	id, class, lang, dir, title, style

Estilo da fonte e tags e atributos de RH

O arquivo default-policy.xml é fornecido com esse Estilo da fonte e marcas e atributos RH.

Estilo da fonte

tabela 23. Estilo da fonte

Tag	Atributos
tt	id, class, lang, dir, title, style
i	id, class, lang, dir, title, style
b	id, class, lang, dir, title, style
big	id, class, lang, dir, title, style
small	id, class, lang, dir, title, style

tabela 24. RH

Tag	Atributo
rh	id, class, lang, dir, title, style

Listar tags e atributos

O arquivo default-policy.xml é fornecido com essas tags e atributos de lista.

Listas não ordenadas, listas ordenadas e itens de lista

tabela 25. Listas não ordenadas, listas ordenadas e itens de lista

Tag	Atributos
ul	id, class, lang, dir, title, style
li	id, class, lang, dir, title, style
ol	id, class, lang, dir, title, style

Listas de definições

tabela 26. Listas de definições

Tag	Atributos
dl	id, class, lang, dir, title, style
dt	id, class, lang, dir, title, style
dd	id, class, lang, dir, title, style
dir	id, class, dir, title, style, compact
menu	id, class, lang, dir, title, style, compact

Tags e atributos de link

O arquivo default-policy.xml é fornecido com essas tags de link e atributos.

Links

tabela 27. Links

Tag	Atributos
a	class, dir, id, lang, name, rel, rev, style, target = _blank, title, xml:lang, accesskey, tabindex, charset, coords, href, hreflang, name, shape
link	Consulte http://www.w3schools.com/tags/tag_link.asp.

Tags e atributos de texto

O arquivo default-policy.xml é fornecido com essas tags de texto e atributos.

Elementos de frase

tabela 28. Elementos de frase

Tag	Atributos
em	id, class, lang, dir, title, style
strong	id, class, lang, dir, title, style
cite	id, class, lang, dir, title, style
dfn	id, class, lang, dir, title, style
code	id, class, lang, dir, title, style
samp	id, class, lang, dir, title, style
kbd	id, class, lang, dir, title, style
var	id, class, lang, dir, title, style
abbr	id, class, lang, dir, title, style
acronym	id, class, lang, dir, title, style

Citações

tabela 29. Citações

Tag	Atributos
blockquote	id, class, lang, dir, title, style
q	id, class, lang, dir, title, style

Subscritos e sobrescritos

tabela 30. Subscritos e sobrescritos

Tag	Atributos
sub	id, class, lang, dir, title, style
sup	id, class, lang, dir, title, style

Linhas e parágrafos

tabela 31. Linhas e parágrafos

Tag	Atributos
p	id, class, lang, dir, title, stye, align
br	id, class, title, style, clear
pre	id, class, lang, dir, title, style

Marcação de alterações de documentos

tabela 32. Marcação de alterações de documentos

Tag	Atributos
ins	id, class, lang, dir, title, style
del	id, class, lang, dir, title, style

Tags e atributos de tabela

O arquivo default-policy.xml é fornecido com essas tags e atributos de tabela.

Tabela

tabela 33. Tabela

Tag	Atributos
tabela	id, border, cellpadding, cellspacing, align, class, frame, summary, lang, dir, style, bgcolor, width, rules, dir

Legendas da tabela

tabela 34. Legendas da tabela

Tag	Atributos
caption	id, lang, dir, title, style

Grupos de linhas

tabela 35. Grupos de linhas

Tag	Atributos
cabeça	cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign
tfoot	cellhalign, cellvalign, id, class, lang, dir, title, style, align, char, charoff, valign
tbody	id, class, lang, dir, title, style, align, char, charoff, valign
pre	id, class, lang, dir, title, style

Grupos de colunas

tabela 36. Grupos de colunas

Tag	Atributos
colgroup	span, width, id, class, lang, dir, title, style, align, char, charoff, valign
col	span, width, id, class, lang, dir, title, style, align, char, charoff, valign

Linhas da tabela

tabela 37. Linhas da tabela

Tag	Atributos
tr	id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

Células da tabela

tabela 38. Células da tabela

Tag	Atributos
º	abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign
td	abbr, axis, headers, scope, rowspan, colspan, id, class, lang, dir, title, style, bgcolor, align, char, charoff, valign

Mídia incorporada e tags e atributos de mashup

O arquivo default-policy.xml é fornecido com essas tags e atributos de mídia e mashup incorporados.

Parceiros

tabela 39. Parceiros

Tag	Atributos
roteiro	type, charset, src
iframe	src=começa com SafeHTML Fontes restritas do Youtube ou Building blocks, longdesc, name, width, height, código, class, title, style, align, frameborder, marginwidth, marginheight, scrolling

Imagens

tabela 40. Imagens

Tag	Atributos
img	src, alt, longdesc, name, id, class, lang, dir, title, style, align, width, height, border, hspace, vspace

YouTube

tabela 41. YouTube

Tag	Atributos
objeto	classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace
param	name=movie, value=starts with SafeHTML Restricted Youtube Sources, name = allowscriptaccess, value=true, name=allowfullscreen, value=true\|false
incorporado	src=começa com SafeHTML Restricted Youtube Sources, allowScriptAccess=never, allowNetworking=internal, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, wmode, base, name, align, hspace, vspace, bgcolor, sound, progress, swstretchstyle, swstretchalign, swstretchvalign
iframe	src=começa com http(s)://www.youtube.com ou http(s)://www.youtube-nocookie.com/, longdesc, name, width, height, id, class, title, style, align, frameborder, marginwidth, marginheight, rolagem

Slideshare

tabela 42. Slideshare

Tag	Atributos
objeto	classid, codebase, codetype, data, type, archive, declare, standby, id, class, lang, dir, title, style, tabindex, name, align, width, height, border, hspace, vspace
param	name=movie, value=começa com http(s)://static.slidesharecdn.com/ ou http(s)://www.slideshare.net/, name=allowscriptaccess, value=never, name=allowfullscreen, value=true\|false, name=wmode, value=transparent
incorporado	src=começa com http(s)://static.slidesharecdn.com/ ou http(s)://www.slideshare.net/, allowScriptAccess=never, allowNetworking=never, wmode=transparent, type=application/x-shockwave-flash, id, width, height, type, quality, scale, salign, base, name, align, hspace, vspace, bgcolor, sound, progress, autostart=false, swstretchstyle, swstretchalign, swstretchvalign
iframe	src=começa com http(s)://static.slidesharecdn.com/ ou http(s)://www.slideshare.net/, height, width, frameborder, marginwidth, marginheight, rolagem

Outros tipos de mídia, incluindo Flash

tabela 43. Outros tipos de mídia, incluindo Flash

Tag	Atributos	Comentários
objeto	codebase, name, align, hspace, vspace, bgcolor, classid
param	name=allowScriptAccess, value=never, name=allowNetworking, value=none, name=autostart, value=false	Pode conter outros parâmetros, mas estes devem estar sempre presentes para fontes diferentes do YouTube e do SlideShare.
incorporado	allowScriptAccess=never, allowNetworking=none, autostart=false, allowFullScreen=false, type=... see comment, wmode=window/transparent/opaque, id, class, dir, flashvars, height, lang, name, src, style, title, width, xml:lang	allowScriptAccess=never deve estar sempre presente para o Flash allowNetworking=none deve estar sempre presente para o Flash allowFullScreen=false deve estar sempre presente para o Flash “type” não está restrito atualmente aos nossos tipos de mídia suportados, mas a política padrão será limitada a: video/quicktime application/x-shockwave-flash application/x-director application/x-mplayer2
iframe	src=lista restrita, longdesc, nome, largura, altura, id, classe, título, estilo, alinhar, frameborder, marginwidth, marginheight, rolagem