@Lilly está correto. Não há desconfiança suficiente no back-end aqui.
Como isso surgiu, decidi verificar se isso também afeta a página de perfil, e não afeta. Nós sanitizamos corretamente os valores quando os usuários atualizam seu perfil. Isso tornou relativamente simples copiar essa lógica de sanitização para o endpoint de cadastro também. Um PR está aqui:
Eu não acho que seja tecnicamente. Sim, os usuários podem inserir valores arbitrários, mas ainda há sanitização aplicada antes de isso ser renderizado em qualquer lugar (portanto, nenhum vetor XSS). E o limite de comprimento já estava corretamente aplicado no endpoint de cadastro também (portanto, nenhum vetor DoS).