@Lilly hat recht. Hier fehlt auf der Backend-Seite noch etwas Skepsis.
Da dies aufkam, habe ich geprüft, ob dies auch die Profilseite betrifft – das ist nicht der Fall. Wir bereinigen Werte korrekt, wenn Benutzer ihr Profil aktualisieren. Das machte es relativ einfach, diese Bereinigungslogik auch auf den Anmeldungs-Endpunkt zu übertragen. Ein PR ist hier:
Ich glaube nicht, dass es technisch gesehen eines ist. Ja, Benutzer können beliebige Werte eingeben, aber bevor dies irgendwo gerendert wird, findet eine Bereinigung statt (also kein XSS-Vektor). Und die Längenbegrenzung wurde bereits korrekt auf den Anmeldungs-Endpunkt angewendet (also kein DoS-Vektor).