XSS тут даже не пахнет - не активной не пасивной.
Если повторно запросить информацию с сервера - все будет в первозданном виде.
Темболе что все опасные теги режутсья еше на падлете.
К тому же от xss мало пользы тк не хеш пароля не тем более сам пароль не хранятсь
в куках, только ид сессии да и та превязанна к ip.