关于wepsphere7.0的httponly,ssl,crossing-site scriping问题

各位wepshere的高手，请教下问题，项目中appscan扫出来httponly,secure在Cookie中没有添加安全信息的问题，如何在was7.0中添加httponly,secure属性呢，在Server端甚至还是在应用的javasource中设置，请各位大侠给解决方案，由于配置了一个过滤器，在其中写入了response.setHeader("SET-COOKIE","JESESSIONID=0000....:-1;PATH=/;HttpOnly;Secure")之后客户端依然生成两个Cooie，在提交的时候由于框架中有request.getSession(true)这个时候竟然新创建了一个Session，以前的Session中的信息没有取到，到底是什么问题，真心不清楚，Websphere自身是如何产生Cooie的？
关于JessionID的设置的生成策略不是很清楚但是通过IE的network观察到貌似jessionid="0000"+sessionid+":-1"不知道在初次请求后是否这样产生的。请各位大侠指点下，兄弟不胜感激！！
另外关于地址栏输入http://access35t.xx.yy:9000/XYZ/jsp/initScreen.jsp在后面追加onmouse=alert(10)之类的脚本如何能过让Appscan扫不出来。请大侠指点