Как можно избежать XSS при загрузке HTML?

У нас есть внутреннее веб-приложение, которое действует как репозиторий, в который пользователи могут загружать файлы. Эти файлы могут быть любого формата, включая HTML-страницы.

Мы протестировали, чем в IE8, если вы загружаете HTML-файл, содержащий сценарий, который пытается получить доступ к вашим файлам cookie, и после загрузки вы выбираете опцию «Открыть», сценарий выполняется и получает информацию о файлах cookie без каких-либо проблем.

Фактически, этот сценарий может использовать объект XmlHttpRequest для вызова сервера и выполнения некоторых вредоносных операций в сеансе пользователя, загрузившего файл.

Есть ли способ избежать этого? Мы проверили, что и Chrome, и Firefox этого не допускают. Как можно избежать такого поведения в любом браузере, включая IE8?