XSSの信頼できるユーザ

提供:MoodleDocs
移動先:案内検索

特定の機能により、ユーザはチェックされていないファイルやJavaScriptなどを含むHTMLコードを追加できます。これは、クロスサイトスクリプティング(XSS)の目的で誤用される可能性があり、完全な管理アクセス権を取得する可能性があります。これらの機能は、管理者と教師のみを対象としています。

XSS信頼ユーザリストのすべてのユーザを信頼していることを確認してください。

FlashアプレットやJavaScriptの埋め込みなど、教師がコースを強化するために使用するリッチマルチメディアコンテンツの一部の形式は、悪意のある人々がクロスサイトスクリプティング攻撃に使用するのとまったく同じテクノロジーを使用しています。

セキュリティのみに関心がある場合は、これを許可しません。しかし、Moodleは教育にも関心があるため、妥協する必要があります。歴史的に、妥協点は、教師、コース作成者、管理者が信頼され、複雑であるがリスクのあるコンテンツを投稿できることでした。学生とゲストは信頼されておらず、彼らが投稿したものはすべて危険なものが取り除かれていました。

最近では、構成可能な役割があるため、他の役割があるか、標準の役割のアクセス許可が変更されている可能性があるため、少し複雑です。このため、ロールの定義/オーバーライド画面の右側にリスク項目の列があるので、学生のロールを編集しているときに、自分が行っていることの結果に気付くことができます。

こちらもご覧ください