Estou usando o HTML Purifier para proteger meu aplicativo contra ataques XSS. Atualmente estou purificando o conteúdo dos editores WYSIWYG porque esse é o único lugar onde os usuários podem usar a marcação XHTML.

Minha pergunta é, devo usar o HTML Purifier também no nome de usuário e senha em um sistema de autenticação de login (ou em campos de entrada da página de inscrição, como e-mail, nome, endereço etc)? Existe uma chance de ataque XSS lá?