Существуют различные примеры настройки флагов HttpOnly и secure для файлов cookie в файле web.xml, например, в OWASP , и они работают следующим образом:
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>
Однако я не смог найти это в спецификации сервлета 4.0 .Он упоминает session-config, но показывает cookie-config только в изображении на «рисунке 14-7», а не в тексте.
Просто отсутствует cookie-config в спецификации сервлета?
Посмотрев Где найти полную документацию по дескриптору развертывания (web.xml) Я обнаружил, что он определен в web-common_4_0.xsd , строка909 фр.Это все еще не упомянуто в спецификации.