Mentre ci sono molte cose che JavaScript può essere usato per migliorare le tue pagine web e migliorare l'esperienza dei tuoi visitatori con il tuo sito, ci sono anche alcune cose che JavaScript non può fare. Alcune di queste limitazioni sono dovute al fatto che lo script è in esecuzione nella finestra del browser e quindi non può accedere a server mentre altri sono il risultato della sicurezza che è in atto per impedire alle pagine Web di essere in grado di manomettere il tuo computer. Non c'è modo di aggirare queste limitazioni e chiunque affermi di essere in grado di eseguire una delle le seguenti attività che utilizzano JavaScript non hanno preso in considerazione tutti gli aspetti di qualunque cosa stiano provando fare.
Utilizzando Ajax, JavaScript può inviare una richiesta al server. Questa richiesta può leggere un file in formato XML o in testo semplice ma non può scrivere su un file a meno che il file chiamato sul server non venga effettivamente eseguito come copione per scrivere il file per te.
Anche se JavaScript è in esecuzione sul cliente computer (quello in cui viene visualizzata la pagina Web) non è consentito accedere a nulla al di fuori della pagina Web stessa. Questo viene fatto per motivi di sicurezza poiché altrimenti una pagina Web sarebbe in grado di aggiornare il computer per installare chissà cosa. L'unica eccezione a ciò sono i file chiamati biscotti che sono piccoli file di testo su cui JavaScript può scrivere e leggere. Il browser limita l'accesso ai cookie in modo che una determinata pagina Web possa accedere solo ai cookie creati dallo stesso sito.
Anche se pagine Web di domini diversi possono essere visualizzate contemporaneamente, in finestre del browser separate o separate frame all'interno della stessa finestra del browser, JavaScript in esecuzione su una pagina Web appartenente a un dominio non può accedere a nessuna informazione circa un pagina web da un dominio diverso. Ciò aiuta a garantire che le informazioni private su di te che potrebbero essere note ai proprietari di un dominio non vengano condivise con altri domini le cui pagine Web potrebbero essere aperte contemporaneamente. L'unico modo per accedere ai file da un altro dominio è fare una chiamata Ajax al tuo server e fare in modo che uno script lato server acceda all'altro dominio.
Tutte le immagini sulla tua pagina web vengono scaricate separatamente sul computer che visualizza la pagina Web in modo che la persona che visualizza la pagina abbia già una copia di tutte le immagini al momento della visualizzazione della pagina. Lo stesso vale per l'attuale sorgente HTML della pagina Web. La pagina Web deve essere in grado di decrittografare qualsiasi pagina Web crittografata per poterla visualizzare. Mentre una pagina Web crittografata potrebbe richiedere l'abilitazione di JavaScript per consentire la decrittografia della pagina affinché sia possibile per essere visualizzato dal browser Web, una volta che la pagina è stata decodificata, chiunque sappia come salvare facilmente la copia decodificata della pagina fonte.