@Lilly прав. Здесь недостаточно недоверия на бэкенде.
Поскольку этот вопрос возник, я решил проверить, влияет ли это также на страницу профиля, и нет. Мы правильно экранируем значения, когда пользователи обновляют свой профиль. Это сделало относительно простым копирование этой логики экранирования также на конечную точку регистрации. PR здесь:
Я не думаю, что технически это так. Да, пользователи могут вводить произвольные значения, но перед отображением в любом месте всё равно применяется экранирование (так что вектора XSS нет). И ограничение длины уже правильно применялось в конечной точке регистрации (так что вектора DoS нет).