Итак, у меня есть веб-приложение на Java, которое использует tomcat со слоем прокси-сервера Apache.Я хочу, чтобы все файлы cookie, установленные в приложении, имели флаг httpOnly.Проблема в том, что tomcat отвечает за установку флага со стороны приложения, и его значение по умолчанию (в сервлете api 2.5) равно false.Я надеялся, что смогу установить этот флаг для всех файлов cookie на лету, используя apache.
Я пробовал разные комбинации, и самое близкое, что я получил, - это установка последнего файла cookie, переданного httpOnly, что, конечно, неправильно:
Header append Set-Cookie "; HttpOnly"
У меня нет возможности узнать, какие файлы cookie / значения будут передаваться из приложения.Это вообще возможно?