httpOnly Session Cookie + Servlet 3.0 (por exemplo, Glassfish v3)

Por padrão, o Glassfish v3 não define o sinalizador httpOnly nos cookies de session (quando criados normalmente com request.getSession() ).

Eu sei, existe um método javax.servlet.SessionCookieConfig.setHttpOnly() , mas não tenho certeza, se essa é a melhor maneira de fazê-lo, e se sim, onde o melhor lugar seria colocar essa linha.

BTW, é claro que não pode ser feito no próprio servlet (por exemplo, no init ()):

 java.lang.IllegalStateException: PWC1426: Unable to configure httpOnly session tracking cookie property for servlet context /..., because this servlet context has already been initialized 

Geralmente, eu preferiria usar uma opção de configuração, por exemplo, em web.xml.