WebLogicのHttpのみのCookie：どのバージョンがそれらをサポートしていますか/どのようにサポートされているのですか？

Webアプリで設定されたすべてのCookieをhttpのみにします。私はこれを行うことの利点の基本的な理解しか持っていませんが、セキュリティ担当者から、それは良いことだと言われています（tm）私たちのアプリはJDK1.6.05とWebLogic10.3.0で実行されています

オラクルのWebサイトを調べすぎてドキュメントを入手した後、httpのみのCookieをサポートするWebLogicの最初のバージョンが10.3.1であるという良い証拠を見つけました。 「サポート」とは、cookie-httpのみのデプロイメント記述子要素を意味します。

アップグレードを始める前に、次の質問に答えていただければ幸いです。

1a）WL10.3.1がhttpのみのCookieをサポートする最初のバージョンであり、10.3.0では運が悪いというのは正確ですか？

1b）本当にアップグレードする必要がある場合、Windowsで簡単にアップグレードできますか？クラスパスに固執するだけの「アップグレードjar」について人々が言及していると聞きましたが、Oracleによるこれについての言及は見つかりません。簡単な方法はありますか、それとも新しいバージョンのフルインストールを行う必要がありますか？

2）有効にすると、cookie-http-onlyデプロイメント記述子要素は何をしますか？アプリケーションによって設定されたすべてのCookieがhttp-only = true属性を持つことを保証しますか？それは多かれ少なかれしますか？プログラムでやらなければならないことはありますか？

3）httpのみのCookie、WebアプリでCookieを利用する方法、またはその他のセキュリティ上の懸念について、一般的に知っておくべきことはありますか？