En los servidores de aplicaciones de quejas de Servlet 3.0 puedo configurar los indicadores HttpOnly y seguros para la cookie de sesión (JSESSIONID) agregando lo siguiente al web.xml:

<session-config>
  <cookie-config>
    <secure>true</secure>
    <http-only>true</http-only>
  </cookie-config>
</session-config>

Sin embargo, la aplicación en la que estoy trabajando se implementará en Websphere 7, que es una queja de Servlet 2.5 y no se inicia si agrego lo anterior a web.xml

¿Existe alguna otra forma o configuración declarativa en la configuración de Websphere 7 para activar los indicadores HttpOnly y seguros para la cookie de sesión?

Si no, ¿cuál sería el mejor enfoque para lograr eso programáticamente?