1. js程序可以打开一个新的浏览器窗口,但是为了防止广告商滥用弹出窗口,很多浏览器限制了这一功能,使得只有为响应鼠标单击这样的用户触发事件的时候,才能用它。
2. js程序可以关闭自己打开的浏览窗口,但是不允许它不经过用户确认就关闭其他的窗口
3. HTML FileUpload元素的value属性是只读的。如果可以设置这个属性,脚本就能设置它为任意期望的文件,从而导致表单上传指定文件的内容到服务器
4. 脚本不能读取从不同服务器载入的文档的内容,除非这个就是包含该脚本的文档。类似地,一个脚本不能在来自不同服务器的文档上注册事件监听。这一限制叫同源策略。