webpack-dev-serverのユーザーが非Chromiumベースのブラウザで悪意のあるWebサイトにアクセスすると、ソースコードが盗まれる可能性があります

### 概要 非Chromiumベースのブラウザで悪意のあるWebサイトにアクセスすると、ソースコードが盗まれる可能性があります。 ### 詳細 CVE-2018-14732で報告されたクロスサイトWebSocketハイジャックを防ぐために、`Origin`ヘッダーがチェックされます。 ただし、webpack-dev-serverは常にIPアドレスの`Origin`ヘッダーを許可します。 https://github.com/webpack/webpack-dev-server/blob/55220a800ba4e30dbde2d98785ecf4c80b32f711/lib/Server.js#L3113-L3127 これにより、IPアドレスで提供されるWebサイトはWebSocketに接続できます。 CVE-2018-14732からリンクされている[記事](https://blog.cal1.cn/post/Sniffing%20Codes%20in%20Hot%20Module%20Reloading%20Messages)で説明されているのと同じ方法を使用すると、攻撃者はソースコードを取得できます。 関連するコミット：https://github.com/webpack/webpack-dev-server/commit/72efaab83381a0e1c4914adf401cbd210b7de7eb（`checkHost`関数は、DNSリバインディング攻撃を防ぐためにHostヘッダーにのみ使用されていたため、この変更自体は問題ありません）。 この脆弱性は、[非HTTPSプライベートアクセスブロッキング機能](https://developer.chrome.com/blog/private-network-access-update#chrome_94)により、Chrome 94以降（およびその他のChromiumベースのブラウザ）のユーザーには影響しません。 ### PoC 1. [reproduction.z