Bár nagyon sok dologgal használható a JavaScript a weblapjainak javításához és a látogatók webhelyén történő élményének javításához, vannak olyan dolgok is, amelyeket a JavaScript nem képes megtenni. Ezen korlátozások némelyike annak a ténynek köszönhető, hogy a szkript a böngészőablakban fut és ezért nem tud hozzáférni a míg mások a biztonságnak köszönhetően léteznek, amelyek megakadályozzák, hogy a weboldalak megtámadják az Ön webhelyét számítógép. Nem lehet megkerülni ezeket a korlátozásokat, és bárki, aki azt állítja, hogy képes végrehajtani a ha a feladatokat a JavaScript segítségével végzi, az nem vizsgálta meg az összes szempontot, bármit is próbálnak csinálni.
Az Ajax használatával a JavaScript kérést küldhet a kiszolgálóra. Ez a kérés képes olvasni egy fájlt XML vagy egyszerű szöveg formátumban, de csak fájlba írhat, hacsak a kiszolgálón hívott fájl valóban nem fut forgatókönyv hogy megírja a fájlt.
Annak ellenére, hogy a JavaScript fut a ügyfél számítógépen (az a webhely, ahol a weboldalt megtekintették) semmihez nem férhet hozzá a weboldalon kívül. Ez biztonsági okokból történik, mivel egyébként egy weboldal frissíteni tudja a számítógépet, hogy telepítse, ki tudja mit. Kivétel ez alól az úgynevezett fájlok
keksz amelyek olyan kis szöveges fájlok, amelyekből a JavaScript tud írni és olvasni. A böngésző korlátozza a sütikhez való hozzáférést, hogy egy adott weboldal csak az ugyanazon webhely által létrehozott sütikhez férjen hozzá.Annak ellenére, hogy a különböző domainek weblapjai egyszerre jeleníthetők meg, akár külön böngészőablakokban, akár külön keretekre ugyanabban a böngészőablakban, az egyik domainhez tartozó weboldalon futó JavaScript nem fér hozzá semmilyen információhoz körülbelül a honlap egy másik domainről. Ez elősegíti annak biztosítását, hogy az ön domainjére vonatkozó, az egyik domain tulajdonosai számára ismert információk nem kerülnek megosztásra más olyan domainekkel, amelyek weboldalait egyidejűleg nyithatja meg. Egy másik domain fájljainak elérésének egyetlen módja az, ha Ajax hívást kezdeményez a kiszolgálóra, és szerveroldali szkripttel fér hozzá a másik tartományhoz.
Az Ön weboldalán található képeket külön-külön tölti le a weblapot megjelenítő számítógépre, így az oldalt megtekintő személynek az összes kép másolatát megkapja az oldal megtekintésének időpontja. Ugyanez vonatkozik a weboldal tényleges HTML forrására. A weboldalnak képesnek kell lennie a titkosított webhelyek dekódolására annak érdekében, hogy megjelenjenek. Míg egy titkosított weboldalnak engedélyeznie kell a JavaScriptet, hogy az oldalt visszafejteni lehessen annak érdekében, hogy képes legyen hogy a böngésző megjelenítse, miután az oldalt visszafejtették, bárki, aki tudja, hogyan mentheti el könnyen az oldal titkosított másolatát forrás.