Pelo que consigo ver, os arquivos HTML carregados são apenas baixados como arquivos normais (por exemplo, arquivos compactados ou PDFs), então cabe ao usuário e às configurações do navegador (abrir automaticamente após o download, …) decidir se os abrem.
Mas este tópico menciona algo sobre XSS…
Pelo que entendo, não há como interagir com a página do Discourse a partir do arquivo baixado?
Então, o pior que pode acontecer é exibir algum tipo de conteúdo de phishing.
Na minha opinião, não é uma boa ideia.
Could you please elaborate why? 
Pela mesma razão exata pela qual você não gostaria que links de phishing aparecessem em uma comunidade?
O Discourse não é um serviço de mensagens diretas ou armazenamento de arquivos. Por que usá-lo apenas para facilitar o download de arquivos HTML? Com certeza o código é melhor hospedado em algum lugar como o GitHub?
Às vezes, é mais conveniente simplesmente fazer o upload de um arquivo HTML mostrando algum problema simples, etc. E, se for apenas um arquivo, colocá-lo em um arquivo ZIP apenas cria dificuldades desnecessárias.
O fórum é destinado principalmente a desenvolvedores, então é seguro assumir que eles sabem o que estão fazendo ao abrir o arquivo baixado, identificarão tentativas de phishing, não inserirão senhas ali, relataram rapidamente, etc.
Portanto, a única preocupação é saber se é possível explorar quaisquer vulnerabilidades, XSS, etc., ao fazer o upload de arquivos HTML (em comparação com arquivos ZIP contendo arquivos HTML).
Como preferência pessoal, prefiro não ter que baixar nenhum arquivo. Eu prefiro apenas ver o código na postagem. Então, minha pergunta é…
Existe algum motivo para o HTML não ser adicionado diretamente nas postagens como um bloco de código?
<section>
<h1>Introdução</h1>
<p>As pessoas têm pescado para alimentação desde antes da história registrada…</p>
</section>
<section>
<h1>Equipamento</h1>
<p>A primeira coisa que você precisará é de uma vara ou caniço de pesca que seja confortável e forte o suficiente para o tipo de peixe que espera capturar…</p>
</section>
...
Dessa forma, ele ficaria visível imediatamente, não exigiria o download de nenhum arquivo e não ocuparia muito espaço na postagem, já que forçamos barras de rolagem em blocos de código além de certa altura. Além disso, não há nenhum risco de segurança envolvido, pois ele não será processado.
Posso me expandir sobre isso se essa solução funcionar para você.
Sim, eu concordo que geralmente é melhor fazer dessa forma, mas às vezes as pessoas ainda preferem anexar arquivos, por exemplo, quando o arquivo é muito grande ou quando querem mostrar algum tipo de problema visual (o que é mais fácil do que copiar e colar em um novo arquivo, etc.).