对 Window.Open 上的受限目录的路径名限制不当（“路径遍历”）

问：

我点击以下以 ** 开头的 Javascript 被标记为漏洞：“对受限目录的路径名的不当限制（'路径遍历'）”。说明：fs 调用的 filename 参数中存在一个变量，这可能允许攻击者访问系统上的任何内容。

为什么会这样，我该如何解决这个问题？

function d2hwindow(url, name)
    {
        if (name != 'main')
        {
            **var wnd = window.open(url, name, 'scrollbars=1,resizable=1,toolbar=0,directories=0,status=0,location=0,menubar=0,height=300,width=400');**
            wnd.focus();
            return false;
        }
        return true;
    }