Selvom der er mange ting, som JavaScript kan bruges til at forbedre dine websider og forbedre dine besøgende 'oplevelse med dit websted, er der også et par ting, som JavaScript ikke kan gøre. Nogle af disse begrænsninger skyldes, at scriptet kører i browservinduet og derfor ikke har adgang til server, mens andre er som et resultat af sikkerhed, der er på plads for at forhindre websider i at kunne manipulere med din computer. Der er ingen måde at omgå disse begrænsninger og nogen, der hævder at være i stand til at udføre nogen af disse følgende opgaver ved hjælp af JavaScript har ikke taget højde for alle aspekterne af hvad det er, de prøver at gøre.
Ved hjælp af Ajax kan JavaScript sende en anmodning til serveren. Denne anmodning kan læse en fil i XML eller almindelig tekstformat, men den kan ikke skrive til en fil, medmindre den fil, der kaldes på serveren, faktisk kører som en manuskript at skrive filen til dig.
Selvom JavaScript kører på klient computer (den, hvor websiden bliver vist), det er ikke tilladt at få adgang til noget uden for selve websiden. Dette gøres af sikkerhedsmæssige årsager, da ellers en webside ville være i stand til at opdatere din computer for at installere, hvem der ved hvad. Den eneste undtagelse fra dette er filer, der kaldes
småkager som er små tekstfiler, som JavaScript kan skrive til og læse fra. Browseren begrænser adgangen til cookies, så en given webside kun kan få adgang til cookies oprettet af det samme sted.Selvom websider fra forskellige domæner kan vises på samme tid, enten i separate browservinduer eller i separate rammer i det samme browservindue, JavaScript, der kører på en webside, der tilhører et domæne, har ikke adgang til nogen information om en hjemmeside fra et andet domæne. Dette hjælper med at sikre, at private oplysninger om dig, der måske er kendt for ejere af et domæne, ikke deles med andre domæner, hvis websider du muligvis har åbent samtidig. Den eneste måde at få adgang til filer fra et andet domæne er at foretage et Ajax-opkald til din server og få et serversidescript til det andet domæne.
Alle billeder på din webside downloades separat til computeren, der viser websiden, så personen, der ser siden, allerede har en kopi af alle billederne, når de ser siden. Det samme gælder for den aktuelle HTML-kilde på websiden. Websiden skal være i stand til at dekryptere enhver webside, der er krypteret for at kunne vise den. Mens en krypteret webside muligvis kræver, at JavaScript er aktiveret, for at siden kan dekrypteres, for at den skal kunne skal vises af webbrowseren, når først siden er blevet dekrypteret, kan enhver, der ved, hvordan man let kan gemme den dekrypterede kopi af siden kilde.