作成者しかアクセスできないWebページにおける脆弱性の対策方法についての質問

例えば、

• Webアプリケーション自体に攻撃者の自分のページ内に他者の作成したページ情報を読み出せるような何らかの脆弱性が含まれている

場合、その他者のページ内に書かれている事項が抜き出せることになり、かつその状況が生まれていることに攻撃者以外気付けない、という状況が発生します。

そのため、主たる問題はHTMLがどうという事より、そのHTML編集画面に任意のコードが書き込めることがWebアプリケーション側の動作の脆弱性（例えばSQLインジェクション等）をつくことに繋がらないかが問題になります。

セキュリティについて考える際に重要なのは、「考えたとおりに作られていれば、問題ない」はずのことが「実はそのとおりに動いていない」ことを想定することです。

さらっと書かれていますが

このWebページは、作成者本人しか、閲覧・編集することができません

これをどう保証し、どう担保するのか？ということが問題です

今回のケースでも、やはり、HTML Purifierのようなライブラリを使って、HTMLを無害化したりといった対策が必要となるのでしょうか？

と言う一文から、通常のサイト制作よりもセキュリティ対策のレベルを下げても問題ないか？と読み取れますが、決してそんなことはありません。
CSRFの脆弱性があれば意図しないコードを書き込まれますし、XSSの脆弱性があればそのコードが実行されてプライベートな情報を他者に転送されてしまうかもしれません。

私は、セキュリティについて考える際に重要なのは、
「想定外の操作や状態では動作しないor停止する」ことだと思います。

アクセスする方がキャッシュするプロキシなどを使った場合、攻撃者のWebページがキャッシュされて表示されてしまう可能性はあります。
ユーザー毎にURLは変えた方がいいと思います。

そのサービスに正規に登録した悪意のユーザーが、そのサービスの機能を用いてそのサービスの別ユーザーを攻撃できるか、ということですね。この場合、認証やアクセス制御が正常に機能しているのであれば、攻撃者が入力したコンテンツを用いて第三者を攻撃するのは難しそうです。

ただし、「CSRF脆弱性の利用やソーシャルハッキングを用いて攻撃対象者の権限により悪意あるコンテンツを書き込む」という攻撃が考えられます(攻撃者が同サービスの利用者かは無関係)。この場合、セッションハイジャック、コンテンツやユーザー登録情報の改竄や詐取、ドライブバイダウンロードによる端末へのマルウェア注入、などが起きえます。

また、前提の部分についても認証やアクセス制御の不備により他者のコンテンツが表示できる経路があったりすると同様のリスクがあります。

結論としてはコンテンツの無害化はやっておいた方がいいでしょう。

あなたが想定していないケースとして、具体的に上げるとすれば、登録ユーザを複数で使い回すケースがありそうです。
この場合、作者≠登録ユーザとなるケースがあるため、悪意あるコードを実害とさせることは十分可能です。
全行動パターンが洗い出せない以上、セキュリティ対策は必要だと思いますよ。