Det finns många saker som JavaScript kan användas för att förbättra dina webbsidor och förbättra dina besökares upplevelse med din webbplats, men det finns också några saker som JavaScript inte kan göra. Vissa av dessa begränsningar beror på att skriptet körs i webbläsarfönstret och därför inte har åtkomst till server medan andra är ett resultat av säkerhet som finns för att hindra webbsidor från att kunna manipulera med din dator. Det finns inget sätt att lösa dessa begränsningar och någon som påstår sig kunna utföra något av dessa Följande uppgifter med JavaScript har inte beaktat alla aspekter av vad de än försöker att göra.
Med hjälp av Ajax kan JavaScript skicka en begäran till servern. Denna begäran kan läsa en fil i XML- eller vanlig textformat men den kan inte skriva till en fil såvida inte den fil som anropas på servern verkligen fungerar som en manus för att skriva filen för dig.
Trots att JavaScript körs på klient dator (den där webbsidan visas) är det inte tillåtet att komma åt något utanför själva webbsidan. Detta görs av säkerhetsskäl, eftersom en webbsida annars skulle kunna uppdatera din dator för att installera vem som vet vad. Det enda undantaget från detta är filer som heter
småkakor som är små textfiler som JavaScript kan skriva till och läsa från. Webbläsaren begränsar åtkomst till kakor så att en given webbsida bara kan komma åt cookies skapade av samma webbplats.Även om webbsidor från olika domäner kan visas samtidigt, antingen i separata webbläsarfönster eller i separata ramar i samma webbläsarfönster, JavaScript som körs på en webbsida som tillhör en domän har inte åtkomst till någon information om en webbsida från en annan domän. Detta hjälper till att se till att privat information om dig som kan vara känd för ägarna till en domän inte delas med andra domäner vars webbsidor du kan ha öppet samtidigt. Det enda sättet att få åtkomst till filer från en annan domän är att ringa ett Ajax-samtal till din server och ha ett server-skript åtkomst till den andra domänen.
Alla bilder på din webbsida laddas ner separat till datorn som visar webbsidan så att personen som tittar på sidan redan har en kopia av alla bilderna när den tittar på sidan. Detsamma gäller för den faktiska HTML-källan på webbsidan. Webbsidan måste kunna dekryptera alla webbsidor som är krypterade för att kunna visa den. Medan en krypterad webbsida kan kräva JavaScript för att kunna aktiveras för att sidan ska kunna dekrypteras för att den ska kunna ska visas av webbläsaren, när sidan har dekrypterats någon som vet hur man enkelt kan spara den dekrypterade kopian av sidan källa.