Bem-vindo ao Meta @Cal 
Esses campos são higienizados/escapados. Além disso, o Discourse tem CSP ativado por padrão.
Eles também são higienizados. Além disso, são acessíveis apenas a administradores, e há também o CSP.
Se você encontrou um problema de segurança relacionado a entrada de usuário que ocorre mesmo com o CSP ativado, adoraríamos ouvir sobre isso aqui.