Как пометить файл cookie сеанса как безопасный (только https )в tomcat 6

Я много гуглил и не нашел ответа. Я попытался установить следующее в файле web.xml в войне, но безрезультатно:

<session-config>
        <session-timeout>60</session-timeout>
        <cookie-config>
            <http-only>true</http-only>
            <secure>true</secure>
        </cookie-config>
    </session-config>

Добавление useHttpOnly в файл tomcat context.xml работает, чтобы ограничить файлы cookie только http, но мне все еще нужно сделать их безопасными.