По сути, сервер не проверяет, является ли эмодзи, отправленный клиентом, валидным. Поэтому клиент может изменить атрибуты «title» и «alt» для тега <img с помощью инструмента «Inspect Element» и отправить произвольный текст в виде эмодзи. Для человека, не обладающего техническими знаниями, может показаться, что текст написал сам пользователь, хотя на самом деле это просто эмодзи, отправленный другим пользователем. Это может привести к подмене личности.
Не совсем понял, не могли бы вы ответить с примером? Это похоже на плагин Retort, который не является официальным. Реакции в Discourse отображаются по-другому.
