undestanding secure / httponly cookie如何适用于Java应用程序

我有apache版本：2.4.7在Ubuntu代理上通过AJP 1.3 tomcat 7.0.52.0运行一个spring应用程序(MVC)和apache shiro 1.2作为安全框架.

我在apache2.conf中设置了header条目,如下所示

Header always append X-Frame-Options SAMEORIGIN
Header edit Set-Cookie ^(.*)$$1;HttpOnly;Secure

如果使用以下任一或所有方法在tomcat端强制执行标志,我会有相同的行为：

> conf / context.xml,上下文标记的useHttpOnly =“true”属性
> conf / server.xml,带有ajp或http的secure =“true”属性
>连接器WEB-INF / web.xml具有以下内容

< cookie的配置>
<仅HTTP>真< /仅HTTP>
<安全>真< /安全>
< / cookie的配置>

在此之后,在/ login处有一个安全和httponly标志,在认证成功后,所有这些标志在应用程序中消失,在任何对服务器的调用中.一旦用户注销,标志将返回另外一个：jsessionid和RememberMe上的DeleteMe.

此/ login页面使用secure和httponly标志创建jsessionid

验证成功后,2步auth jsessionid没有标志

在帐户仪表板中也没有标志

但在注销时,旗帜又回来了

我的问题是

1：这是通常的行为
2：如果这是实际行为,这是否意味着cookie在会话ID的整个生命周期内都是安全的？