Hola,

Sesiones. Por 2 razones: las cookies requieren que el navegador soporte cookies; y porque con las cookies estas mandando todos los datos del servidor al nevegador y de vuelta en cada visualizacion de pagina, con lo que ello conlleva (limite de tamaño de las cabeceras de las peticiones, ...).

Con las sesiones solo tienes que tener cuidado de que no se pierda el ID de sesion. Normalmente usan cookies, pero si detectan que no se soporta cookies se pasa el ID como parametro en las URLs.

Por ultimo, incluso creo que mejor que las sesiones es usar usuarios registrados y una base de datos, creando la lista en la base de datos asociada a un id de usuario. Asi un usuario puede desconectarse y al volver a autentificarse vera su carrito en el mismo estado.

Saludos.