Creo que sería importante añadir que, al ser un componente temático, un usuario puede eludir estas limitaciones inyectando javascript (creo) o habilitando el modo seguro si está disponible para él (ver la configuración habilitar modo seguro).
Necesitas un plugin si quieres una forma más segura de hacerlo.