Eigentlich baue ich ja eine ganz einfache Chatseite. Andere Leute können sich nicht registrieren, weil es halt nur für einen festen Kreis ist. Dieser feste Kreis hat keinerlei Ahnung von Informatik, deshalb können die ja auch kein XSS durchführen.
Bin ich bzw. meine Nutzer sicher gegen XSS?
Nein, seid ihr nicht. Man kann z.B. mit einem XSS-Angriff auf einer anderen Seite einen XSS-Angriff auf deine Seite durchführen. Das Cross-Site in Cross-Site-Scripting steht da nicht nur zum Spaß.
Außerdem musst du die HTML-Sonderzeichen sowieso kodieren, da du ansonsten Probleme mit verschiedenen Zeichen bekommst (z.B. &, >, <, usw).