Les programmes javascript peuvent être insérés n'importe où dans un document HTML avec la balise <script>. La balise avec l'attribut text/javascript <script type="text/javascript"> peut également s'appliquer.

Les fichiers externes peuvent être appelés avec la balise
<script src="vers/dossier/js">.

Les fichiers externes peuvent être des scripts stockés sur le serveur local ou se trouve le fichier html ou sur un serveur distant. Les fichiers dits externes sont des liens CDN (Content Delivery Network) vers des serveurs distants et concernent souvent des librairies pour les feuilles de styles ou des librairies de fonctions javascripts.

Concernant les liens externes et notamment les liens CDN, ces liens peuvent être exposés à des risques de sécurités spécifiques à l'utilisation de ce type de fichiers. En effet, il n'est pas toujours sûre que le serveur distant est sécurisé.

Exemple d'un lien CDN sécurisé avec sha256
<script src="scripts/fichier.js" integrity="sha256-o88AwQQ...=" crossorigin="anonymous">

sha256 est une mesure de sécurité qui assure que le fichier n'a pas été modifié...

Insérer un script externe offre l'avantage de télécharger le contenu de ce script dans la mémoire cache du navigateur ce qui réduit le débit des données reçues. Pour des scripts longs et compliqués, la page web peut s'afficher plus vite notamment si ces scripts font appel à des éléments du document.

Les modules javascript sont des fichiers qui contiennent une partie d'un projet et qui évitent pour des gros projets d'être volumineux. Ces modules sont appelés avec les mots clés import et export.

Dans l'utilisation combinée d'un script et d'un fichier externe, c'est le fichier externe qui sera exécuté et le contenu de la balise dans le document sera ignoré, exemple: <script src="script/externe">alert(1)</script>.

La position d'un script ou d'un fichier externe dans la structure (le DOM) peut avoir une importance selon les fonctions et les librairies javascript.