展開された Sakai のインストールを変更して、キャンパス内の複数のメディア サーバーからの iframe を許可したいと考えています。iframe の例はhttps://mediaserver.example.edu/p/player.htmlです。デプロイされた Tomcat でポリシー ファイルを編集する最も簡単な方法は何ですか?
1 に答える
5
Antisamyは、オープン ソース API と html スキャナーおよびクリーナーです。Sakai 2.9 以降では、これをセキュリティ スイートの一部として使用して、悪意のあるユーザーが作成したマークアップによって引き起こされるXSS (クロス サイト スクリプティング)攻撃からユーザーを保護します。
Sakai には、コミュニティでテストされたデフォルトの構成セットが含まれており、ほとんどのユーザーのニーズを満たす可能性があります。これらには、低セキュリティ オプションと高セキュリティ オプションが含まれます (高がデフォルトです)。Sakai に低セキュリティ設定を使用させるには、以下に示すように Sakai 構成プロパティを追加します (これを false に設定すると、デフォルトで高セキュリティになります)。
content.cleaner.default.low.security=true
高設定と低設定の主な違いは、外部コンテンツ (ビデオや iframe など) の不明なサイトをブロックすることです。High は、信頼できるサイトの限られたリストのみを許可します。低は、すべてのサイトからのコンテンツを許可します。どちらにも、javascript 関連のインジェクション攻撃から保護するための広範なルールがあります。
Antisamy 構成ファイルは XML ベースです (詳細については、Antisamy 開発者ガイドを参照してください)。標準の高セキュリティ ファイルと低セキュリティ ファイルは、「kernel/sakai-kernel-impl/src/main/resources/antisamy/」の下の Sakai ソース コードにあります。これらは、ローカルにカスタマイズされたバージョンのベースとして使用できます。含まれているファイルをオーバーライドするには、カスタム バージョンを Sakai ホーム ディレクトリ (通常は TOMCAT_HOME/sakai) に配置します。次に例を示します。
${sakai.home}/antisamy/high-security-policy.xml
${sakai.home}/antisamy/low-security-policy.xml
特定のユースケースでは、コメントに示されているように、おそらく次のセクション (xml ファイルの上部近く) を変更します。
<!-- SAKAI customized trusted sites listing:
This is where we specify what Flash/embed/iframe src to allow
To add a new host/site to this list:
Find this in the flashSites below: ...(download\.macromedia\.com/pub|...
Add in your site (e.g. "new.site.host.com/path": with escaped ".": "new\.site\.host\.com/path|"
Like shown here: (new\.site\.host\.com/path|download\.macromedia\.com/pub|
-->
<regexp name="flashSites" ...
于 2014-06-11T18:30:06.787 に答える