Я много гуглил и не нашел ответа. Я попытался установить следующее в файле web.xml в войне, но безрезультатно:
<session-config>
<session-timeout>60</session-timeout>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
Добавление useHttpOnly в файл tomcat context.xml работает, чтобы ограничить файлы cookie только http, но мне все еще нужно сделать их безопасными.