Session 浏览器上的OAuth 2.0恶意拦截器

我正在研究Auth2.0协议[1]，以及验证密钥RFC[2]。它还解释了协议如何保护监听网络流量的恶意应用。但是，我无法理解auth 2.0协议如何防止浏览器本身上的恶意代码

让我们看一个证明密钥RFC协议的简单例子。我们生成了一个高熵代码验证器，但我们必须将其存储在浏览器的某个地方（可能存储在cookies/浏览器的本地存储中），以便再次使用它来获取令牌。现在，如果浏览器上有恶意代码执行，它总是可以访问cookie/本地存储并获取代码验证程序

是否有协议增强（类似于RFC-7636）可以防止基于cookie的攻击？如果没有，我们如何缓解

[1]

---

[2]

OAuth 2.0可满足不同类型的客户端，即Web客户端、浏览器内客户端和本机移动应用程序客户端

PCKE OAuth 2.0机制主要是为本地移动应用程序设计的。它允许公共客户端保护自己免受可能获取授权代码的恶意应用程序和攻击者的攻击

在处理Web客户机时，不需要PCKE机制，因为使用服务器端存储客户机机密的机密客户机可以防止这些攻击

在处理浏览器内客户端时，您提到了一个问题，但一般来说，当恶意代码在浏览器中运行时，所有希望都破灭了

---

总之：PKCE不是一种在浏览器中抵御跨站点脚本攻击的机制。

谢谢！那么，针对浏览器内客户端的这种情况，有哪些保护方法呢；针对XSS的一般保护适用