Въпреки че има много неща, чрез които JavaScript може да се използва за подобряване на уеб страниците ви и подобряване на опита на посетителите с вашия сайт, има и няколко неща, които JavaScript не може да направи. Някои от тези ограничения се дължат на факта, че скриптът работи в прозореца на браузъра и следователно не може да получи достъп до сървър, докато други са в резултат на сигурност, която е в състояние да спре уеб страниците да не могат да подправят вашата компютър. Няма начин да се заобиколи тези ограничения и всеки, който твърди, че може да изпълни някое от следващите задачи с помощта на JavaScript не са взели предвид всички аспекти на каквото и да се опитват да направя.
Използвайки Ajax, JavaScript може да изпрати заявка до сървъра. Тази заявка може да чете файл в XML или обикновен текстов формат, но не може да запише във файл, освен ако файлът, извикан на сървъра, действително не работи като писменост да направя файла да напише за вас.
Въпреки че JavaScript работи на клиент компютър (този, на който се преглежда уеб страницата) не е разрешен достъп до нищо извън самата уеб страница. Това се прави от съображения за сигурност, тъй като в противен случай уеб страница ще може да актуализира вашия компютър, за да инсталира кой знае какво. Единственото изключение от това са извиканите файлове
бисквитки които са малки текстови файлове, от които JavaScript може да записва и чете. Браузърът ограничава достъпа до бисквитки, така че дадена уеб страница може да има достъп само до бисквитки, създадени от същия сайт.Въпреки че уеб страниците от различни домейни могат да се показват едновременно, или в отделни прозорци на браузъра, или в отделни рамки в същия прозорец на браузъра, JavaScript, работещ на уеб страница, принадлежаща на един домейн, не може да получи достъп до каквато и да е информация около a уеб страница от различен домейн. Това помага да се гарантира, че частната информация за вас, която може да бъде известна на собствениците на един домейн, да не бъде споделена с други домейни, чиито уеб страници може да отворите едновременно. Единственият начин за достъп до файлове от друг домейн е да осъществите повикване на Ajax до вашия сървър и да имате скрипт от страна на сървъра за достъп до другия домейн.
Всички изображения на вашата уеб страница се изтеглят отделно на компютъра, показващ уеб страницата, така че човекът, който преглежда страницата, вече има копие на всички изображения до момента, в който преглежда страницата. Същото се отнася и за действителния HTML източник на уеб страницата. Уеб страницата трябва да може да декриптира всяка уеб страница, която е криптирана, за да може да я показва. Докато криптирана уеб страница може да изисква JavaScript да бъде активиран, за да може страницата да бъде декриптирана, за да може да се показва от уеб браузъра, след като страницата е декриптирана всеки, който знае как може лесно да запази декриптираното копие на страницата източник.