Čeprav obstaja veliko stvari, s katerimi lahko JavaScript izboljšate svoje spletne strani in izboljšate izkušnjo svojih obiskovalcev s svojim spletnim mestom, obstaja tudi nekaj stvari, ki jih JavaScript ne more storiti. Nekatere od teh omejitev so posledica dejstva, da se skript izvaja v oknu brskalnika in zato ne more dostopati do strežnik, medtem ko so druge posledica varnosti, ki preprečuje, da bi spletne strani lahko varovale vaše računalnik. Te omejitve ni mogoče premagovati in kdor koli, ki trdi, da lahko izvaja katero koli od teh omejitev naslednje naloge z uporabo JavaScript niso upoštevale vseh vidikov, karkoli že poskušajo narediti.
S pomočjo Ajaxa lahko JavaScript strežniku pošlje zahtevo. Ta zahteva lahko prebere datoteko v obliki XML ali navadnega besedila, vendar ne more zapisati v datoteko, razen če datoteka, ki se pokliče na strežniku, dejansko deluje kot skripta da datoteko napišem za vas.
Čeprav JavaScript deluje na odjemalec računalnik (tisti, na katerem se spletna stran gleda), ni dovoljen dostop do ničesar zunaj same spletne strani. To se naredi iz varnostnih razlogov, saj bi sicer spletna stran lahko posodobila računalnik, da bi ga namestili kdo ve, kaj. Edina izjema od tega so klicane datoteke
piškotki to so majhne besedilne datoteke, iz katerih lahko JavaScript piše in bere. Brskalnik omejuje dostop do piškotkov, tako da lahko določena spletna stran dostopa samo do piškotkov, ki jih ustvari isto spletno mesto.Čeprav so spletne strani z različnih domen lahko istočasno prikazane, bodisi v ločenih oknih brskalnika bodisi v ločenih okvirjev v istem oknu brskalnika, JavaScript, ki deluje na spletni strani, ki pripada eni domeni, ne more dostopati do nobenih informacij o a Spletna stran z druge domene. To pomaga zagotoviti, da se zasebni podatki o vas, ki so znani lastnikom ene domene, ne delijo z drugimi domenami, katerih spletne strani imate lahko hkrati odprte. Edini način za dostop do datotek iz druge domene je klic Ajaxa na vaš strežnik in dostop do skripte na strani strežnika.
Vse slike na vaši spletni strani se naložijo ločeno na računalnik, na katerem je prikazana spletna stran, tako da ima oseba, ki si jo ogleduje, že kopijo vseh slik do trenutka, ko jo vidi. Enako velja za dejanski vir spletne strani HTML. Spletna stran mora biti sposobna dešifrirati katero koli spletno stran, ki je šifrirana, da bi jo lahko prikazala. Čeprav je za šifrirano spletno stran morda omogočen JavaScript, da bo lahko stran dešifrirala, da bo lahko Ko je stran dešifrirana, jo prikaže spletni brskalnik, ko kdo ve, kako lahko preprosto shrani dešifrirano kopijo strani vir.