Пользователь не сможет ввести что-то эдакое, если на бэкенде экранировать небезопасные символы. :)
Указанное регулярное выражение для пароля не очень т. к. по данному паттерну можно ввести небезопасный пароль, например 123456789
/^[\S]{8,72}$/.test('123456789') // true
Лучше уж что-то более безопасное и банальное - как минимум одно число, как минимум одна строчная буква и одна заглавная.