ما هذا؟ سياسة أمان المحتوى (CSP) هي آلية لإضافة أمان إضافي إلى مواقع الويب للقضاء على العديد من أنواع الهجمات. وهو يعمل عن طريق إضافة رأس إلى حركة مرور الويب من الخادم الأصلي الذي يوضح كيفية عمل الخادم. هذا يعني أن كل صفحة يتم تحميلها من الموقع محمية بواسطة هذه الإعدادات. هناك مجموعة واسعة من خيارات CSP اعتمادا على احتياجات موقع معين. اعتمدت D2L أنواعا قليلة من خيارات CSP الموضحة أدناه لحل المشكلات المحتملة المحددة. ويمكن اعتماد خيارات أخرى كلما دعت الاحتياجات في المستقبل. يمكن لمزود خدمة العملاء الإبلاغ عن الانتهاكات المحتملة حتى في حالة عدم فرض السياسات بالإضافة إلى الإبلاغ عن الانتهاكات عند فرض السياسة. بمعنى أن D2L لديها رؤية لوقت وعدد المحاولات التي يتم إجراؤها والتي تنتهك الإعدادات التي اخترناها. حجب Iframe ال سياسة CSP لأجداد الإطار يستخدم لمنع قدرة بعض مواقع الويب على إحداث موقع أصلي في هذه الحالة Brightspace. يستخدم هذا لمنع هجمات النقر فوق الاختراق بالإضافة إلى توفير تجربة مستخدم أفضل. تستخدم D2L سياسة CSP هذه على صفحة تسجيل الدخول حاليا مع خطط لإضافتها لاحقا على مستوى الموقع. ملاحظة أنه لا ينبغي استخدام السياسة على مستوى الموقع حاليا لأنها تتسبب في حدوث أعطال معروفة باستخدام أدوات مثل الدروس. سيتم إصدار حظر IFrame على مستوى الموقع بالكامل لاحقا. حظر تنفيذ SVG ال سياسة وضع الحماية والمسؤولية الاجتماعية والمؤسسية لحظر تنفيذ JavaScript داخل ملف SVG. يستخدم هذا لمنع هجمات التصيد الاحتيالي أو الهندسة الاجتماعية للحصول على معلومات المستخدم. يستخدم D2L سياسة وضع الحماية دون السماح للبرامج النصية بمنع تنفيذ JavaScript داخل ملفات SVG. تتم إضافة نهج CSP هذا فقط إلى رأس صفحات SVG عند عرضها. سيستمر تحميل ملفات SVG ولكنها لن تتمكن من تنفيذ التعليمات البرمجية. من المتأثر؟ سيتم تمكين هذه الحماية لجميع العملاء الجدد والحاليين في إصدار أغسطس. يمكن للعملاء الذين يستخدمون إدارة صفحة تسجيل الدخول (LPM) إدارة تكويناتهم داخل مستعرض متغير التكوين. لن يتمكن العملاء الذين يستخدمون صفحات ASP المخصصة أو صفحات تسجيل الدخول المستضافة المخصصة من تعطيل إعداداتهم أو تعديلها. يستخدم العملاء الذين يستخدمون هذه الصفحات المخصصة إعدادات من جانب الخادم تنطبق على جميع العملاء الذين يستخدمون هذه الصفحات المخصصة بحيث لا يمكن إجراء تعديلات فردية. إذا احتاج العميل إلى إعدادات مخصصة، فسيحتاج إلى التوقف عن استخدام صفحة تسجيل الدخول المخصصة الخاصة به. هناك بعض الإعفاءات العامة التي تم تطبيقها على جميع العملاء بغض النظر عن نوع صفحة تسجيل الدخول.بالنسبة للعملاء الذين يستخدمون إدارة صفحة تسجيل الدخول، هناك عدد قليل من العملاء المعروفين الذين يحدث IFraming ويحتاجون إلى مزيد من التحقيق/تغييرات العميل المحتملة. سيتم إعفاء هذه الحالات من التغيير في أغسطس. ستتواصل D2L مع العملاء المتأثرين لمزيد من المناقشة. يمكن لعملاء LPM إضافة إعفاءات عناوين URL لأنفسهم حسب الحاجة (انظر القسم أدناه حول تكوين العميل). العديد من محاولات IFraming التي تحدث هي عملاء يتحولون ذهابا وإيابا بين عناوين URL الأساسية وغير الأساسية. يمكن أن يؤدي استخدام عنوان URL غير الأساسي إلى تعطل العديد من الأدوات ويجب تجنبها. لماذا نفعل هذا؟ حجب IFrame يؤثر Iframing Brightspace على تجربة المستخدم وإمكانية الوصول إلى Brightspace بالإضافة إلى السماح بالهجمات المحتملة التي تقلل من أمان الموقع. الشاغل الأمني الرئيسي الذي يقلل من هذا هو القدرة على Clickjacking الهجمات التي ستحدث. من منظور المستخدم ، تم تصميم Brightspace ليكون تطبيقا عالي المستوى والعديد من المكونات لا تعمل أو لا تعمل بشكل جيد إذا تم إفرامد. تم تصميم Brightspace ليكون مستجيبا لحجم الجهاز ، ولكن من خلال IFraming داخل نافذة أصغر ، لا يمكن ل Brightspace تغيير حجم نفسه بشكل صحيح. يفتح Brightspace العديد من مربعات الحوار لمطالبة المستخدمين أثناء مهام سير العمل التي تحجب بقية التطبيق حتى يتمكن المستخدم من التركيز. عندما يكون Brightspace IFramed ، فإن مربعات الحوار ستحظر فقط iframe مما قد يربك المستخدم. لإمكانية الوصول ، تتمتع قارئات الشاشة ومستخدمي لوحة المفاتيح فقط بتجربة مروعة في التفاعل مع Brightspace داخل إطار iframe. سيقوم Brightspace بتنفيذ إجراءات معينة لإطار المستوى الأعلى عند الخروج من إطاراتنا الخاصة ، عندما يكون Brightspace داخل إطار iframe ، ينتج عن ذلك خروج Brightspace من iframe والاستيلاء على الصفحة الخارجية. يحتوي Brightspace على التنقل العلوي والجانبي الخاص به ، لذا سيكون أيضا تجربة مفككة للغاية للمستخدم الذي يحاول معرفة عناصر التنقل التي يجب استخدامها. باختصار ، فإن تجربة المستخدمين عندما يكون Brightspace IFramed سيئة للغاية ومفككة مما يزيل مزايا قابلية الاستخدام وإمكانية الوصول التي تفخر Brightspace بتقديمها. حظر تنفيذ SVG يسمح السماح لجافا سكريبت بالتنفيذ داخل SVG ببعض هجمات الهندسة الاجتماعية. لا ينبغي السماح بتنفيذ ملفات SVG من مصادر غير موثوق بها لتجنب الهجمات. يمكن استخدام ملفات SVG كصور دون الحاجة إلى JavaScript للتنفيذ. ما هي السيطرة التي يمتلكها العملاء؟ يتمتع العملاء ببعض التحكم في إعدادات CSP عبر متصفح متغير التكوين. حجب IFrame ملاحظة، لا يمكن لعملاء صفحة تسجيل الدخول المخصصة إدارة إعداداتهم عبر CVB. إذا قاموا بتغيير الإعدادات ، فلن ينعكس ذلك في رؤوس صفحات تسجيل الدخول الخاصة بهم. يؤثر هذا فقط على حظر IFrame لصفحة تسجيل الدخول.متغير التكوين د2 ل. Security.ContentSecurityPolicy.AddtnlAncestors يتحكم في عناوين URL المسموح بها كاستثناءات ل IFrame Brightspace. سيكون هذا هو التكوين الأكثر ترجيحا الذي قد يقوم العملاء بتعديله لإضافة استثناءات لموقعهم. يتم إدراج العديد من عناوين URL بشكل افتراضي للسماح للأدوات القياسية بالعمل. نوصي بإضافة المزيد من عناوين URL لإضافتها إلى القائمة الحالية. إذا تمت إزالة القائمة الحالية ، فقد تتعطل بعض الوظائف. لا يلزم تضمين عنوان URL الحالي للموقع في هذه القائمة. ملاحظة أننا لا نوصي بإضافة مواقع غير موثوق بها إلى هذه القائمة ونوصي بشدة بعدم إضافة استثناءات لأشياء مثل المضيف المحلي.يجب فصل عناوين URL بمسافة. يجب أن يكون تنسيق عناوين URL أحد الأمثلة أدناه (لاحظ أن التنسيق الثالث المدرج هو الترميز الأكثر شيوعا للاستخدام): http://*.example.comيتطابق مع جميع محاولات التحميل من أي نطاق فرعي ل : مثال على المجال باستخدام مخطط http: URL.mail.example.com:443: يطابق جميع محاولات الوصول إلى المنفذ 443 على mail.example.com.https://store.example.comيتطابق مع جميع محاولات الوصول: store.example.com باستخدام https:. متغير التكوين د2 ل. Security.ContentSecurityPolicy.HeaderEnabled يحدد ما إذا كان رأس CSP مضمنا على الإطلاق إما للإبلاغ أو التنفيذ. لا نوصي عادة بتعطيل هذا المتغير. يتم تضمين رأس On = CSP في بعض الطلبات بناء على كيفية تكوين التكوينات الأخرىإيقاف = لا يتم تضمين رأس CSP لأي طلبات متغير التكوين د2 ل. الأمان.المحتوىSecurityPolicy.Reporting فقط يحدد ما إذا كان حظر iframe قد تم فرضه أم لا. إذا كان المتغير قيد التشغيل، فلن يحدث فرض نهج CSP. نوصي بترك هذا إيقاف التشغيل حتى يتم فرض السياسة وإضافة مواقع موثوق بها إلى متغير addntlancestors إن أمكن. هناك بعض العملاء الذين يحتاجون إلى مزيد من التحقيق / المحادثة والذين سيظل هذا المتغير قيد التشغيل. إذا كان هذا المتغير قيد التشغيل لموقعك بعد إصدار 20.22.08، فيرجى المناقشة مع جهة اتصال D2L قبل التمكين لتجنب أي اضطرابات كبيرة في وظائف الموقع.تشغيل = رأس CSP يبلغ عن الانتهاكات فقطإيقاف = يتم فرض رأس CSP حظر تنفيذ SVG التكوين د2 ل. Security.ContentSecurityPolicy.SvgAllowScripts يتحكم في ما إذا كان تنفيذ SVG JavaScript مسموحا به أم لا. يوصى بعدم السماح بتنفيذ JavaScript ما لم يكن قادما من مصدر موثوق به ، لذا يجب على معظم العملاء ترك هذا التكوين معطلا. تشغيل = السماح بتنفيذ JavaScript إيقاف = حظر تنفيذ JavaScript كيف تحصل على تقارير العملاء؟ لا تتوفر تقارير CSP للعملاء مباشرة داخل سجل النظام. يمكن أن توفر D2L هذه السجلات حسب الحاجة. يمكن لممثل D2L الخاص بك الحصول على سجلات حديثة لك إذا لزم الأمر.