Nors yra daugybė dalykų, kuriais „JavaScript“ gali būti naudojama norint patobulinti jūsų tinklalapius ir pagerinti lankytojų patirtį jūsų svetainėje, taip pat yra keletas dalykų, kurių „JavaScript“ negali padaryti. Kai kurie iš šių apribojimų atsiranda dėl to, kad scenarijus veikia naršyklės lange, todėl negali pasiekti o kiti - dėl įdiegtos saugumo, kuri neleidžia tinklalapiams klastoti jūsų kompiuteris. Negalima apeiti šių apribojimų ir tiems, kurie teigia galintys atlikti bet kurį iš šių apribojimų atlikdami užduotis naudodamiesi „JavaScript“ neapsvarstėme visų aspektų, kad ir ką jie bandytų daryti.
Naudodamas „Ajax“, „JavaScript“ gali nusiųsti užklausą į serverį. Ši užklausa gali nuskaityti failą XML arba paprasto teksto formatu, tačiau negali rašyti į failą, nebent failas, iškviestas serveryje, iš tikrųjų veikia kaip scenarijus padaryti failą už jus.
Nors „Java“ veikia „ klientas kompiuteris (tas, kuriame žiūrimas interneto puslapis) neleidžiama pasiekti nieko, kas nėra pačiame tinklalapyje. Tai daroma saugumo sumetimais, nes kitu atveju internetinis puslapis galėtų atnaujinti jūsų kompiuterį ir įdiegti, kas ką žino. Vienintelė išimtis yra failai, vadinami
sausainiai kurie yra maži tekstiniai failai, iš kurių „JavaScript“ gali parašyti ir iš kurių galima skaityti. Naršyklė riboja prieigą prie slapukų, kad nurodytas interneto puslapis galėtų pasiekti tik slapukus, kuriuos sukūrė ta pati svetainė.Nors skirtingų domenų tinklalapiai gali būti rodomi tuo pačiu metu, atskiruose naršyklės languose arba atskirai kadrų tame pačiame naršyklės lange, „JavaScript“, veikiantis viename domene esančiame tinklalapyje, negali pasiekti jokios informacijos apie a tinklo puslapis iš kito domeno. Tai padeda užtikrinti, kad privati informacija apie jus, kuri gali būti žinoma vieno domeno savininkams, nebūtų dalijamasi su kitais domenais, kurių tinklalapiai tuo pat metu gali būti atidaryti. Vienintelis būdas pasiekti failus iš kito domeno yra paskambinti „Ajax“ į savo serverį ir turėti serverio scenarijų prieigą prie kito domeno.
Visi jūsų tinklalapio atvaizdai yra atskirai atsisiunčiami į kompiuterį, kuriame rodomas internetinis puslapis, todėl asmuo, žiūrintis puslapį, jau turi visų vaizdų kopijas iki to laiko, kai jie peržiūri puslapį. Tas pats pasakytina ir apie tikrąjį tinklalapio HTML šaltinį. Tinklalapis turi sugebėti iššifruoti bet kurį užšifruotą tinklalapį, kad jis galėtų būti rodomas. Nors užšifruotame tinklalapyje gali reikėti įjungti „JavaScript“, kad jį būtų galima iššifruoti, kad jis galėtų būti parodytas žiniatinklio naršyklėje, kai tik iššifruos puslapį, visi, kas žino, kaip lengvai išsaugoti iššifruotą puslapio kopiją šaltinis.