Webpack 的 AutoPublicPathRuntimeModule 存在 DOM 覆盖 (DOM Clobbering) 工具，可能导致跨站脚本攻击 (XSS)

### 概要 我们发现在 Webpack 的 `AutoPublicPathRuntimeModule` 中存在 DOM 覆盖 (DOM Clobbering) 漏洞。该模块中的 DOM 覆盖 (DOM Clobbering) 工具可能导致跨站脚本攻击 (XSS)，在网页中存在由攻击者控制的无脚本 HTML 元素（例如，具有未清理 `name` 属性的 `img` 标签）。 我们发现在 Canvas LMS 中真实利用此工具的案例，该案例允许通过 Webpack 编译的 javascript 代码（漏洞部分来自 Webpack）进行 XSS 攻击。我们认为这是一个严重的问题。如果 Webpack 的代码不能抵抗 DOM 覆盖 (DOM Clobbering) 攻击，可能会导致使用 Webpack 编译代码的任何 Web 应用程序中出现重大的安全漏洞。 ### 详情 #### 背景 DOM 覆盖 (DOM Clobbering) 是一种代码重用攻击，攻击者首先在网页中嵌入一段非脚本的、看似良性的 HTML 标记（例如，通过帖子或评论），并利用现有 javascript 代码中的工具（js 代码片段）将其转换为可执行代码。有关 DOM 覆盖 (DOM Clobbering) 的更多信息，请参阅以下参考资料： [1] https://scnps.co/papers/sp23_domclob.pdf [2] https://research.securitum.com/xss-in-