Cookie需要指定SameSite属性，None值曾经是默认值，但最近的浏览器版本将Lax作为默认值，以对某些类型的跨站请求伪造(CSRF)攻击具有相当强大的防御能力。

除了SameSite=Lax，你还应该有Domain=localhost，这样你的cookie就会关联到localhost并被保存。它应该看起来像这样:

document.cookie = `${name}=${value}${expires}; Path=/; Domain=localhost; SameSite=Lax`;

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie/SameSite

所有建议的修复程序都不适合我——设置为null、false、添加两个点等等——都不起作用。

最后，我只是从cookie中删除了域，如果它是localhost，现在在Chrome 38中为我工作。

以前的代码(不工作):

document.cookie = encodeURI(key) + '=' + encodeURI(value) + ';domain=.' + document.domain + ';path=/;';

新代码(现在工作):

 if(document.domain === 'localhost') {
        document.cookie = encodeURI(key) + '=' + encodeURI(value) + ';path=/;' ;
    } else {
        document.cookie = encodeURI(key) + '=' + encodeURI(value) + ';domain=.' + document.domain + ';path=/;';
    }

唯一对我有用的是在cookie上设置Path=/。

此外，路径属性的默认值似乎因浏览器而异，尽管我只测试了其中两种(Firefox和Chrome)。

Chrome试图设置cookie是;如果路径属性在Set-Cookie头中被省略，那么它将不会被存储和忽略。

然而，Firefox即使没有显式的路径属性也可以存储cookie。它只是用请求的路径设置它;我的请求url是/api/v1/users，路径被自动设置为/api/v1。

不管怎样，当path被设置为/时，即使没有显式的域，即domain =localhost或其他东西，这两个浏览器都可以工作。因此，每种浏览器处理cookie的方式都有所不同。

如果有人仍然面临这个问题，我发现从post请求切换到get请求是必要的。

我使用axios，并在前端使用凭据:true，但这是失败的。切换请求到get并更改后端以匹配工作。

按照设计，域名必须至少有两个点;否则浏览器将认为它们无效。(详见http://curl.haxx.se/rfc/cookie_spec.html)

在localhost上工作时，必须完全省略cookie域。你不应该将它设置为""或NULL或FALSE而不是"localhost"。这还不够。

对于PHP，请参阅http://php.net/manual/en/function.setcookie.php#73107上的评论。

如果使用Java Servlet API，完全不要调用cookie.setDomain("…")方法。

我也有同样的问题，我通过在cookie名称本身放置2个点而不指定任何域来修复它。

set-cookie: name.s1.s2=value; path=/; expires=Sun, 12 Aug 2018 14:28:43 GMT; HttpOnly