Nem suttyó a Drupal hanem biztonságos... ha olyan helyen linkelsz ami átmegy a filter_xss -en (márpedig a node body az jellemzően olyan) akkor van egy protocol whitelist, a site gazdájánál kuncsorogjál hogy vegye fel a magnet-et:
variable_get('filter_allowed_protocols', array('ftp', 'http', 'https', 'irc', 'mailto', 'news', 'nntp', 'rtsp', 'sftp', 'ssh', 'tel', 'telnet', 'webcal'))
Na.