comment configurer httponly et le cookie de session pour l'application web java

Salut, je suis en train de travailler sur XSS(cross site scripting). ma demande se développer sur oracle weblogic portal. nous utilisons Servlet 2.5 version.

J'ai ajouté en dessous de 3 lignes de code dans le filtre pour le réglage de httponly et bloqué les cookies.
et il fonctionne très bien.

String sessionid = req.getSession().getId();
res.setHeader("Set-Cookie", "JSESSIONID=" +  sessionid + ";HttpOnly");
res.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; secure");

Le problème c'est quand je vous déconnecter et reconnecter immédiatement dans le même navigateur, je suis en mesure de se connecter, mais après que sur les pages jsp, je suis d'expiration de la session problème. nous utilisons weblogic api. demande.getuserprinical() de l'api est de retour null.. suppose que c'est le paramètre à null.

aucune idée de s'il vous plaît partager.

si il y a d'autres façons de définir httponly ou indicateur de sécurité s'il vous plaît aider.

source d'informationauteur Kiran