Benvenuti su Meta @Cal 
Quei campi vengono sanificati/escaped. Inoltre, Discourse ha CSP abilitato per impostazione predefinita.
Anche questi vengono sanificati. Sono inoltre accessibili solo agli amministratori e vige anche la CSP.
Se hai individuato un problema di sicurezza legato all’input utente che si verifica con la CSP attiva, saremmo lieti di saperne di più qui.