Skip to main content

系统和信息完整性

保护用户内容

内容编辑器的安全 HTML 过滤器

用户可以以多种方式在 Blackboard 中输入 HTML。例如,用户可以使用博客和讨论区中的内容编辑器,以及通过 HTML 文件上传来输入 HTML。过去,这曾带来安全威胁,用户可能会输入潜在危险的标签,比如脚本标签。此类标签可用于在 Blackboard 中执行恶意脚本,使其他用户暴露于攻击之下。这被称为跨站脚本,允许用户控制其他用户浏览器。

为了让用户提供的 HTML 在 Blackboard 中更安全地使用,并使管理员能够更好地控制学生可输入的 HTML 类型,安全 HTML 构建模块使用 Open Web Application Security Project 的 AntiSamy API 开源安全库 取代了之前的 HTML 净化器。新的 API 确保用户提供的 HTML 符合应用程序的规则。

更安全的文件

从备用域渲染文件

从替代机构管理呈现用户上传的文件是一种深度防御安全控制。通过上传包含潜在恶意脚本的内容,一旦目标用户访问受影响的内容,用户可能会在主 Blackboard 会话上执行会话劫持。

作为防止此类活动的一种方法,用户现在可以通过备用域和无法访问用户主 Blackboard 会话中的 Cookie 的单独会话访问用户上传的文件。此安全控制利用浏览器安全功能,即同源策略。因此,在一个域或子域中呈现的用户上传文件中的恶意脚本与主 Blackboard 会话的 Cookie 隔离,从而与会话信息隔离。

此安全控制是 Blackboard 安全框架中的另一个防御层,可进一步保护用户免受潜在有恶意的用户上传文件的侵扰。

文件类型上传限制

一种预防性安全控制,允许系统管理员定义可以上传到系统中的文件和 MIME 类型以及应如何处理它们。

防病毒

Blackboard 尚不支持对用户上传到系统的文件进行防病毒扫描。此功能位于 Blackboard 产品安全路线图中。

注意

任何关于 Blackboard 未来预期、计划和前景的陈述均代表公司截至 2013 年 1 月 1 日的观点。由于各种重要因素的影响,实际结果可能会有很大的不同。公司预计后续事件和发展将导致公司观点发生变化。然而,尽管公司可能会在未来的某个时候选择更新这些声明,但公司明确表示没有任何义务这样做。