¡Bienvenido a Meta @Cal 
Esos campos están limpiados/escapados. Además, Discourse tiene CSP habilitado por defecto.
Esos también están limpiados. Además, solo son accesibles para administradores y también hay CSP.
Si has encontrado un problema de seguridad relacionado con la entrada de usuario que ocurre con CSP activado, nos encantaría saberlo aquí.