nella tua domanda c'è una falla di sicurezza:

è vero che potresti stampare il contenuto della sessione in un blocco js e confrontarlo con il valore del campo all'onsubmit del form

però così facendo rendi di fatto visibile il testo del captcha nel sorgente, per cui viene meno lo scopo del controllo... quindi ti suggerisco di fare questo check solo lato server.