Secure y HttpOnly flags para la cookie de sesión Websphere 7
En los servidores de aplicaciones de quejas de Servlet 3.0 puedo configurar los indicadores HttpOnly y seguros para la cookie de sesión (JSESSIONID) agregando lo siguiente al web.xml:
<session-config>
<cookie-config>
<secure>true</secure>
<http-only>true</http-only>
</cookie-config>
</session-config>
Sin embargo, la aplicación en la que estoy trabajando se implementará en Websphere 7, que es una queja de Servlet 2.5 y no se inicia si agrego lo anterior a web.xml
¿Existe alguna otra forma o configuración declarativa en la configuración de Websphere 7 para activar los indicadores HttpOnly y seguros para la cookie de sesión?
Si no, ¿cuál sería el mejor enfoque para lograr eso programáticamente?