强制Tomcat通过http使用安全的JSESSIONID cookie

有没有一种方法可以配置Tomcat 7在所有情况下创建带有安全标志的JSESSIONID cookie？

仅当通过https建立连接时，常规配置才会导致Tomcat使用安全标志标记会话cookie。但是在我的生产场景中，Tomcat位于反向代理/负载均衡器的后面，该代理处理/终止负载均衡器的https连接并通过http与tomcat联系。

即使通过简单的http建立连接，我能否以某种方式在与Tomcat的会话cookie上强制使用安全标志？

最后，与最初的测试相反，web.xml解决方案在Tomcat 7上为我工作。

例如，我将此代码段添加到了web.xml中，即使反向代理通过纯HTTP与tomcat联系，它也将会话cookie标记为安全。

<session-config>
    <cookie-config>
        <http-only>true</http-only>
        <secure>true</secure>
    </cookie-config>
</session-config>