Netsparker工具显示cookie不会被标记为仅Http

我已经下载Netsparker的试用版，并用它扫描我的Java应用程序。Netsparker工具显示cookie不会被标记为仅Http

我已经创建了一个安全cookie，通过在web.xml中设置HTTPOnly到true，正如很多网站所建议的。

当我用Firebug检查应用程序时，它显示HttpOnly标志，但在Netsparker的测试报告中，cookie没有标记为HttpOnly。

如何解决这个问题？为什么Netsparker报告这个脆弱性，并告诉我，我需要解决？还有其他方法来测试它吗？