pues no necesariamente tendria que ser una session o cookie, por que si bien sabemos se podria realizar un procedimiento basado en XML o en una tabla temporal para dichos usuarios.....
en relacion a lo del CSS, pues eso vendria siendo un albur... ya que si bien es cierto que la gran mayoria de los usuarios sabe deshabilitar el javascript, pocos son los que deshabilitan el CSS, en esos raros casos, es cuando podrias tomar el consideracion el metodo de ataque del SPAM
por que no llamamos a los de CSS para que nos den una alternativa en relacion al deshabilite de CSS???

ideas lokas de viernes frenetico