В серверах приложений жалобы Servlet 3.0 я могу установить HttpOnly и безопасные флаги для файла cookie сеанса (JSESSIONID), добавив следующее в web.xml:
<session-config>
<cookie-config>
<secure>true</secure>
<http-only>true</http-only>
</cookie-config>
</session-config>
Однако приложение, над которым я работаю, должно быть развернуто в Websphere 7, что является жалобой Servlet 2.5, и он не запускается, если я добавлю это выше в web.xml
Есть ли другой декларативный способ или настройка в конфигурации Websphere 7 для включения HttpOnly и безопасных флагов для cookie сеанса?
Если нет, какой был бы лучший подход к программному обеспечению?