springboot设置session cookie的httpOnly属性无效

环境

springboot2.3.1
JDK1.8 jetty

配置

server:
  port: 9212
  session:
    cookie:
      http-only: true
      secure: true

使用这种方式设置 http-only 无效,也用过cookie中追加。

    Cookie[] cookies = request.getCookies();
    for (Cookie cookie: cookies) {
            if(StringUtils.equals("JSESSIONID",cookie.getName())){
                    StringBuilder sb = new StringBuilder(cookie.getValue());
                    sb.append(";").append("Secure;").append("HttpOnly;");
                    cookie.setValue(sb.toString());
                    response.setHeader("Set-Cookie",sb.toString());
            }
    }

都不行

请问怎么解决

是我的配置不正确,这个配置属性已经过时了,应该是

server.servlet.session.cookie.http-only

对于springboot的正确配置,可以参考 https://prop.springboot.io/#/11.Server