В блоге есть отдельная статья на тему информационной безопасности сайта.
Если брать только платформу, то в ней предусмотрены средства защиты от XSS, SQL injection, XXE.
Однако нужно понимать, что информационная безопасность - это не тумблер Включить. Это целый комплекс мер, затрагивающий множество объектов информационной системы: сервер, приложение, база данных, персонал, хранение аккаунтов, внешние подключенные сервисы, регламенты и т.д.
Только решая в комплексе все эти задачи, можно говорить о защищенном состоянии сайта.