<div><span style="color: rgb(160, 160, 168); ">On Wednesday, February 6, 2013 at 6:41 PM, Richard Jones wrote:</span></div><blockquote type="cite" style="border-left-style:solid;border-width:1px;margin-left:0px;padding-left:10px;">
                    <span><div>So the only real solution is the one you use, which is to set up the</div><div>unsafe content on a separate domain. Easy enough, even I can buy</div><div>domains ;-)</div></span></blockquote><div>This is accurate (basically), at least if you want javascript to still be javascript and</div><div>such. A completely separate domain only for user uploaded content that itself has</div><div>no secure content (so no cookies to steal or anything). SSL is optional since it's a</div><div>separate domain. (Suggested to at least have SSL be an option though).</div><div><br>
                </div>