App Engine поддерживает Servlet API версии 2.5, поэтому вы не можете использовать метод setHttpOnly.
Вы можете попытаться вывести заголовок cookie самостоятельно.
resp.setHeader("Set-Cookie", "A=7; expires=Fri, 31-Dec-2010 23:59:59 GMT; path=/; domain=.example.net; HttpOnly");