问XSS攻击，还是使用第三方脚本作为攻击载体的任何其他攻击，以生存于陆地(LOtL)攻击？

EN

我是一家大公司的实习生，我的教育是安全风险分析( Security )，但不知何故，我加入了一个软件开发团队，基本上被降级为研究人员。我周围都是软件开发人员，我真的不能要求澄清安全问题，所以我来了

我正在考虑在基于浏览器的应用程序上使用带有PKCE的刷新令牌(这似乎是个糟糕的主意)。无论如何，我发现安全地执行令牌绑定的方法之一是令牌绑定，Google决定不执行令牌绑定，部分原因是令牌拦截攻击的频率较低，比如XSS和令牌泄漏给运行在浏览器中的第三方脚本。

然而，赛门铁克，在他们的ISTR 24文件，指出供应链和生存的土地攻击去年增加了78%。我试图弄清楚这是否会对单一登录和单页应用程序构成威胁，因为它们容易受到恶意脚本的攻击。如果上面提到的攻击是LOtL攻击，那么这可能意味着一个紧急的威胁，是吗？