Javascript wird zwischen dem Kopf und dem Körper einer HTML-Datei notiert. Es hilft bei der Erstellung von Seiten mit dynamischen Elementen (siehe z.B. die Menusteuerung auf dieser Seite). Zugriffe auf die das Filesystem (d.h. die Festplatte) des Users sind nicht möglich, damit ist eine Reihe von Sicherheitsproblemen ausgeschlossen. So kommen Javascript-Programme nicht an auf der Festplatte gespeicherte Informationen heran.

Allerdings ist bzw. war Javascript anfällig für zwei Arten von Attacken auf User. Sog. Denial of Service Attacken (DOSA) und sog. Spoofing-Attacken.

Bei einer DOSA wird ein Javascript ausgeführt, das versucht die Ressourcen des Browsers oder des gesamten Computers aufzubrauchen, in dem es z.B. uendliche viele Alert-Fenster öffnet oder versucht uendlich viel Hauptspeicher zu belegen. Ziel der Attacke ist es den Computer des Nutzers lahmzulegen. Durch einen erzwungenen Neustart können zuvor nicht gespeicherte Daten verloren gehen. Zu einer Preisgabe von geheimen Daten kommt es nicht.

Bei einer Spoofing-Attacke versucht das Javascript-Programm dem User durch Vortäuschen gefälschter Eingabeaufforderungen geheime Daten wie Username, Password usw. zu entlocken.

Neuere Implementationen von Javascript zeigen daher in jedem Fenster einen Text (wie z.B.: "Javascript") der den Fenster-Ursprung anzeigt. So läßt sich eine gefälschte Aufforderung zur Paßworteingabe von einer echten unterscheiden. Das bedeutet aber nicht, daß es jetzt mit Javascript nicht mehr möglich ist andere Spoofing-Attacken durchzuführen.

Gegen Spoofing hilft nur ein wacher Verstand. Man sollte sich immer die Frage stellen, ob die Eingabe, zu der man aufgefordert, berechtigt ist.