В серверах приложений жалоб Servlet 3.0 я могу установить флаги HttpOnly и secure для файла cookie сеанса (JSESSIONID), добавив в файл web.xml следующее:

<session-config>
  <cookie-config>
    <secure>true</secure>
    <http-only>true</http-only>
  </cookie-config>
</session-config>

Однако приложение, над которым я работаю, должно быть развернуто в Websphere 7, что является жалобой Servlet 2.5, и оно не запустится, если я добавлю вышеуказанное в файл web.xml.

Есть ли какой-либо другой декларативный способ или настройка в конфигурации Websphere 7 для включения HttpOnly и безопасных флагов для файла cookie сеанса?

Если нет, то какой будет лучший подход для достижения этого программно?