a lo sumo deben se ser cookies, o pueden usar HTML5 local storage.

te recuerdo que el único objeto de una variable se sesión es almacenar el ID de sesión generado por el servidor, por lo cual una cookie es lo más idóneo.

¿vulnerabilidades?: entre las más comunes se encuentran XSS y éso debes de evitarlo desde el server preferiblemente