Кто-нибудь знает, что изменилось в конфигурации между Tomcat 6 и Tomcat 7, что приведет к тому, что cookie JSESSIONID не будет доступен через JavaScript?
Использование Tomcat 6:
alert(document.cookie); // JSESSIONID=8675309ABCDEF...
Использование Tomcat 7:
alert(document.cookie); // nothing
Хорошо, я нашел ответ. Атрибут useHttpOnly был установлен на false по умолчанию в Tomcat 6 и true в Tomcat 7. Этот атрибут установлен для контейнера <Context>.
<Context useHttpOnly="false" [...] />
Дополнительные сведения об обновлении с Tomcat 6 до 7: Миграция с 6.0.x до 7.0.x
Я не уверен, почему я раньше не видел этого в документах, но я подтвердил, что установка этого параметра на false на самом деле заставляет Tomcat 7 вернуться к поведению Tomcat 6.