Зависит от того, где вы используете пользовательский ввод.
Если вы используете его внутри a href=
, то хорошо: нет!
<a href="{{linkFromUser}}">
, а затем это может быть javascript:alert('oh no');
, и браузер будет выполнять его, если нажата ссылка, в контексте вашей страницы.