Selv om det er veldig mange ting som JavaScript kan brukes til å forbedre websidene dine og forbedre besøkendees opplevelse med nettstedet ditt, er det også noen få ting JavaScript ikke kan gjøre. Noen av disse begrensningene skyldes at skriptet kjører i nettleservinduet og derfor ikke får tilgang til server mens andre er som et resultat av sikkerhet som er på plass for å hindre at websider kan tukle med din datamaskin. Det er ingen måte å jobbe rundt disse begrensningene og noen som hevder å kunne utføre noen av disse Å følge oppgaver med JavaScript har ikke vurdert alle aspektene ved det de prøver å gjøre.
Ved å bruke Ajax kan JavaScript sende en forespørsel til serveren. Denne forespørselen kan lese en fil i XML- eller ren tekstformat, men den kan ikke skrive til en fil med mindre filen som heter på serveren faktisk kjøres som en manus å skrive filen for deg.
Selv om JavaScript kjører på klient datamaskin (den der websiden blir sett på) er det ikke tillatt å få tilgang til noe utenfor selve websiden. Dette gjøres av sikkerhetsmessige grunner, ellers vil en webside kunne oppdatere datamaskinen din for å installere hvem som vet hva. Det eneste unntaket fra dette er filer som heter
kjeks som er små tekstfiler som JavaScript kan skrive til og lese fra. Nettleseren begrenser tilgangen til informasjonskapsler, slik at en gitt webside bare kan få tilgang til informasjonskapsler som er opprettet av det samme nettstedet.Selv om websider fra forskjellige domener kan vises samtidig, enten i separate nettleservinduer eller i separate rammer i det samme nettleservinduet, JavaScript som kjører på en webside som tilhører ett domene, har ikke tilgang til informasjon om en nettside fra et annet domene. Dette hjelper deg med å sikre at privat informasjon om deg som kan være kjent for eierne av ett domene, ikke blir delt med andre domener hvis websider du kan ha åpent samtidig. Den eneste måten å få tilgang til filer fra et annet domene er å ringe Ajax til serveren din og ha et serversideskript til det andre domenet.
Alle bilder på websiden din lastes ned separat til datamaskinen som viser websiden, slik at personen som ser på siden, allerede har en kopi av alle bildene når de ser siden. Det samme gjelder selve HTML-kilden til websiden. Nettsiden må kunne dekryptere enhver webside som er kryptert for å kunne vise den. Selv om en kryptert webside kan kreve at JavaScript er aktivert for at siden skal kunne dekrypteres for at den skal kunne skal vises av nettleseren, når siden har blitt dekryptert alle som vet hvordan de enkelt kan lagre den dekrypterte kopien av siden kilde.