Я использую HP Fortify для решения проблем безопасности в своем приложении. У меня есть фрагмент кода, как показано ниже, для которого Fortify выдает ошибку.
Результат Fortify говорит:
Метод DownloadAttachment() в fileName.cs включает непроверенные данные в заголовок ответа HTTP в строке lineNo. Это делает возможным такие атаки, как отравление кеша, межсайтовый скриптинг, межпользовательская порча, перехват страницы, манипулирование файлами cookie или открытое перенаправление.
Код -
public ActionResult DownloadAttachment(string fullFilePath)
{
var bytes = System.IO.File.ReadAllBytes(fullFilePath);
return File(bytes, MimeMapping.GetMimeMapping(fullFilePath), Path.GetFileName(fullFilePath));
}
В чем здесь угроза и как с этим бороться? Какие-либо предложения?