デフォルトでは、Glassfish v3 はセッション Cookie に httpOnly フラグを設定しません (通常どおり で作成された場合request.getSession()
)。
method があることは知っていますが、javax.servlet.SessionCookieConfig.setHttpOnly()
それが最善の方法であるかどうかはわかりません。
ところで、もちろん、サーブレット自体 (init() など) では実行できません。
java.lang.IllegalStateException: PWC1426:
Unable to configure httpOnly session tracking cookie property for
servlet context /..., because this servlet context has already been initialized
一般に、web.xml などの構成オプションを使用することをお勧めします。