När du skriver ett e-postmeddelande är de två huvudvalen du har att skriva e-postmeddelandet i vanlig text eller att använda HTML. Med vanlig text är allt du kan placera i själva e-postmeddelandet text och allt annat måste vara en bilaga. Med HTML i din e-post kan du formatera texten, integrera bilder och göra de flesta av samma saker i e-postmeddelandet som du kan göra på en webbsida.
Svaret på detta hänför sig till en grundläggande skillnad mellan webbsidor och e-postmeddelanden. Med webbsidor är det personen som surfar på webben som bestämmer vilka webbsidor de besöker. En person på webben kommer inte att besöka sidor som de tror kan innehålla allt som kan vara skadligt för deras dator, t.ex. ett virus. Med e-post är det avsändaren som har mest kontroll över vilka e-postmeddelanden som skickas och mottagaren har mindre kontroll. Hela konceptet med skräppostfiltrering för att försöka ta bort skräppostmeddelanden som inte är önskat är en indikation på denna skillnad. Eftersom e-postmeddelanden som vi inte vill ha kan komma igenom vårt spamfilter vill vi ha de e-postmeddelanden som vi ser att göras så ofarliga som vi kan göra dem bara för att något destruktivt kommer förbi vårt filtrera. Även om virus kan kopplas till både e-postmeddelanden och webbsidor, är de i e-postmeddelanden mycket vanligare.
Av denna anledning har de allra flesta människor säkerhetsinställningarna i sitt e-postprogram inställt mycket högre än de har ställt in i sin webbläsare. Denna högre inställning innebär vanligtvis att de har sitt e-postprogram konfigurerat för att ignorera JavaScript som kan finnas i e-postmeddelandet.
Självklart är orsaken till att de flesta HTML-e-postmeddelanden inte innehåller JavaScript eftersom de inte har något behov av det. Där det skulle finnas en använd för JavaScript i en HTML-e-post kommer de som förstår att JavaScript är inaktiverat i de flesta e-postprogram att producera en alternativ lösning där e-posten länkar till en webbsida som innehåller JavaScript.
Det kommer bara att finnas två grupper av människor som placerar JavaScript i sina e-postmeddelanden - de som ännu inte har insett att säkerhetsinställningarna i e-postprogram skiljer sig från det på webbsidor så att deras JavaScript inte kommer att köras och de som medvetet lägger JavaScript i sin e-post så att det kommer att installera automatiskt ett virus på datorn för de få personer som har säkerhetsinställningarna i sin webbläsare felkonfigurerade så att deras JavaScript kan springa.