bin nun mit xss/dos-Attacken in meinem Formular konfrontiert und
möchte dagegen ein einigermaßenes Maßnahmenpaket schnüren.

Du brauchst exakt eine Maßnahme: Kontextspezifisches Escaping.

Zu DOS, hier empfiehlt sich eine schlanke serverseitige Logik, die eingehende Requests in Empfang nimmt und bei Bedarf auch gleich wieder "abserviert". SessionIDs und RequestIDs (FormIDs) kommen in Frage.