如何解决强化给出的路径操作错误？

Question

I have path Manipulation problem in addAttachment. 

ByteArrayOutputStream baos = new ByteArrayOutputStream(); 
hssWorkBook.write(baos); 
byte[] bytes = baos.toByteArray(); 
DataSource ds = new ByteArrayDataSource(bytes, "application/excel"); 
helper.addAttachment("XYZ information - "+XYZ+".xls", ds); 
helper.setText(text.toString(), true); 

Iam尝试从已创建的工作簿中添加xls作为附件，但Fortify在addAttachment中给出了路径操作错误。 我该如何解决这个问题？

Answer 1

变量XYZ来自哪里？

Fortify认为该变量是完全或部分地从不可信/未经验证的数据构建的。

你在对它进行某种形式的验证吗？它是否来自不可信的来源（所有非硬编码的值在严格的安全意义上都被认为是不可信的）。

看看OWASP's Path Traversal page。