Лучшие практики для запуска сайта, на котором размещен произвольный HTML/JavaScript?

При запуске сайта, на котором размещается пользовательский контент, включая HTML и JavaScript, каковы некоторые рекомендации, которые могут помочь обеспечить безопасность и целостность хоста и любых посетителей сайта?

Добавим несколько примеров возможных приемов здесь. Технические опции:

  • Отдельные домены: используйте отдельный домен от основного сайта для размещения пользовательского контента. Github делает это, как и jsFiddle
  • Ограниченные теги: ограничить HTML-теги, которые могут вводить пользователи. Большим из них является