Мне нужно установить httpOnly и безопасные флаги для cookie сессии в Google App Engine.

Я попробовал следующее вweb.xml:

<session-config>
 <cookie-config>
  <http-only>true</http-only>
 </cookie-config>
</session-config>

Однако это не сработало.

Я также пробовал это в верхней части каждого JSP:

String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");

Как мне этого добиться?