@Lilly ha ragione. Non c’è abbastanza diffidenza nel back-end qui.
Poiché è emerso questo problema, ho deciso di verificare se interessasse anche la pagina del profilo, ma non è così. Sanitizziamo correttamente i valori quando gli utenti aggiornano il proprio profilo. Questo ha reso relativamente semplice copiare quella logica di sanitizzazione anche all’endpoint di registrazione. Una PR è disponibile qui:
Non penso che lo sia tecnicamente. Sì, gli utenti possono inserire valori arbitrari, ma viene comunque applicata la sanitizzazione prima che questi vengano visualizzati da qualsiasi parte (quindi nessun vettore XSS). Inoltre, il limite di lunghezza era già correttamente applicato anche nell’endpoint di registrazione (quindi nessun vettore DoS).