@Lilly tiene razón. No hay suficiente desconfianza en el back-end aquí.
Desde que surgió este tema, decidí verificar si también afecta a la página de perfil, y no lo hace. Correctamente sanitizamos los valores cuando los usuarios actualizan su perfil. Eso hizo que fuera relativamente sencillo copiar esa lógica de sanitización al punto de registro también. Una PR está aquí:
No creo que técnicamente lo sea. Sí, los usuarios pueden ingresar valores arbitrarios, pero aún se aplica sanitización antes de que esto se renderice en cualquier lugar (por lo que no hay vector XSS). Y el límite de longitud ya se aplicaba correctamente en el punto de registro también (por lo que no hay vector DoS).