Флаги Secure и HttpOnly для файлов cookie сеанса Websphere 7

В жалобе на Servlet 3.0 серверы приложений. Я могу установить флаги HttpOnly и secure для файла cookie сеанса (JSESSIONID), добавив в файл web.xml следующее:

<session-config>
  <cookie-config>
    <secure>true</secure>
    <http-only>true</http-only>
  </cookie-config>
</session-config>

Однако приложение, над которым я работаю, должно быть развернуто в Websphere 7, а именно Servlet 2.5, и он не запускается, если я добавляю вышеуказанное в web.xml

Есть ли другой декларативный способ или настройку в конфигурации Websphere 7 включения флагов HttpOnly и secure для файла cookie сеанса?

Если нет, то как лучше всего выполнить это программным способом?