Мне нужно установить httpOnly и безопасные флаги для файла cookie сеанса в Google App Engine.

Я попробовал следующее в:web.xml

 
  true
 

Тем не менее, это нет работа.

Я также пробовал это в верхней части каждого JSP:

String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");

Как мне этого добиться?