为什么即使将代码修改为以下内容,SonarQube 仍然会看到“Potential Path Traversal”的错误漏洞:
File file = new File(FilenameUtils.getPath(realmC.getPath()), FilenameUtils.getName(realmC.getPath()));
如果我很好理解,我将父子路径分开,这应该是问题的解决方案。
我已经阅读了一些解决方案: how to fix this find bugs Potential Path Traversal in new File(filePath)
另外,我不使用 servlet,它不是网络项目,我不想对目录进行硬编码。
解决方案: 它是误报 -> 仅当它不是用户输入时才通过,如果它来自后端,那没关系。