Per quanto ne so, gli HTML caricati vengono semplicemente scaricati come file normali (ad esempio archivi o PDF), quindi spetta all’utente e alle impostazioni del browser (apri automaticamente dopo il download, …) decidere se aprirli.
Ma questo argomento menziona qualcosa riguardo all’XSS…
Per quanto ho capito, non c’è modo di interagire con la pagina di Discourse dal file scaricato?
Quindi, nel peggiore dei casi, potrebbe mostrare qualche tipo di contenuto di phishing.
Non è una buona idea, a mio parere.
Potresti per favore spiegare meglio? 
Per esattamente la stessa ragione per cui non vorresti che link di phishing apparissero in una community?
Discourse non è un servizio di messaggistica diretta o di archiviazione file; perché usarlo solo per facilitare il download di file HTML? Di sicuro il codice è meglio ospitarlo in un posto come GitHub?
A volte è più comodo caricare direttamente un file HTML che mostri un problema semplice, ecc., e se si tratta di un unico file, inserirlo in un archivio ZIP crea solo difficoltà inutili.
Il forum è rivolto principalmente agli sviluppatori, quindi si può ragionevolmente assumere che sappiano cosa stanno facendo quando aprono i file scaricati, riconosceranno i tentativi di phishing, non inseriranno password, segnaleranno rapidamente eventuali problemi, ecc.
L’unica preoccupazione è quindi sapere se sia possibile sfruttare vulnerabilità, XSS, ecc., caricando file HTML (rispetto agli archivi ZIP contenenti file HTML).
Per preferenza personale, preferisco non dover scaricare alcun file. Preferirei semplicemente vedere il codice nel post. Quindi, la mia domanda è…
esiste un motivo per cui l’HTML non viene aggiunto direttamente nei post come blocco di codice?
<section>
<h1>Introduzione</h1>
<p>Le persone pescano per nutrirsi fin dalla preistoria…</p>
</section>
<section>
<h1>Attrezzatura</h1>
<p>La prima cosa di cui avrete bisogno è una canna da pesca o un'asticella che vi risulti comoda e abbastanza resistente per il tipo di pesce che prevedete di catturare…</p>
</section>
...
In questo modo sarebbe visibile immediatamente, non richiederebbe il download di file e non occuperebbe molto spazio nel post, dato che forziamo l’uso delle barre di scorrimento per i blocchi di codice oltre una certa altezza. Inoltre, non ci sono rischi di sicurezza, poiché non verrà eseguito alcun parsing.
Posso approfondire se questa soluzione vi sembra valida.
Sì, sono d’accordo che di solito è meglio farlo in questo modo, ma a volte le persone preferiscono comunque allegare file, ad esempio quando sono troppo grandi o quando vogliono mostrare un problema di visualizzazione (è più semplice che copiare e incollare in un nuovo file, ecc.).