Файлы cookie Http-Only в WebLogic: какие версии их поддерживают / как и почему они поддерживаются?

Мы хотим, чтобы все файлы cookie устанавливались нашим веб-приложением только для http. У меня есть только общее представление о преимуществах этого, но сотрудники службы безопасности говорят, что это хорошо (tm). Наше приложение работает под управлением JDK1.6.05 и WebLogic10.3.0.

После долгих поисков документации на сайте Oracle я нашел убедительные доказательства того, что первой версией WebLogic, поддерживающей файлы cookie только для http, является 10.3.1. Под "поддержкой" я подразумеваю элемент дескриптора размещения только для cookie-http.

Прежде чем мы перейдем к обновлению, было бы неплохо получить ответы на следующие вопросы:

1a) Точно ли WL10.3.1 является первой версией, поддерживающей файлы cookie только для http, и что нам не повезло с 10.3.0?

1b) Если мы действительно нуждаемся в обновлении, легко ли это сделать в Windows? Я слышал, что люди упоминают "банку обновления", которую вы просто вставляете в путь к классам, но я не могу найти никакого упоминания об этом в Oracle. Существует ли простой способ, или нам нужно выполнить полную установку новой версии?

2) Что делает элемент развертывания-дескриптора cookie-http-only при включении? Будет ли он гарантировать, что все файлы cookie, установленные приложением, имеют атрибут http-only = true? Будет ли это делать больше или меньше? Что-нибудь мне придется делать программно?

3) Есть ли вообще что-то, что я должен знать о файлах cookie только для http, о том, как использовать мое веб-приложение, или о других проблемах безопасности?