Die Ergebnisse der Frontend-Aktion werden am Ende gepostet (POST).
Ach was!
Die können aber auch gefaked werden, also muss das verarbeitende Script erst wieder prüfen, ob nur erlaubte Elemente und Parameter gesendet wurden.
Nochmal: was zum Henker hat das mit TinyMCE zu tun?!