我解决的跨站点cookie问题是这样的:

后端

服务器端

服务网站:http://localhost:8080 创建响应时，设置Cookie

属性:

SameSite=None; Secure; Path=/

客户端

Frontend(在我的例子中是Angular)

服务网站:http://localhost:4200/ 当发送请求到服务器(后端)

设置XHR.withCredentials = true:

var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://localhost:8080/', true);
xhr.withCredentials = true;
xhr.send(null);

我的解释:

when backend and frontend domains differ the decision if the cookies will be saved in frontend domain cookie storage from received response is brought by the browser. Browser will allow sending cookies ONLY if XHR request has withCredentials=true and correct server Cookie attributes (HTTP Set-Cookie header) are recieved when backend and frontend domains differ the decision if the cookies will be sent within request is brought by the browser. Browser will allow this ONLY if XHR request has withCredentials=true in other words, if withCredentials=true is ommited - cookies won't be sent within request NOR will be recieved and saved from response recieved cookies are allways stored under frontend domain name in browser cookie storage. In case when server domain differs and cookies are saved successfully, the effect is the same as if they have been sent by frontend domain in the first place. if SameSite=None cookie attribute is omitted today's browser (Firefox/Chrome) will use default Lax mode which is too strict for cross site cookies if Secured cookie attribute is ommited - then SameSite=None will be ignored - it requires Secured to be set for localhost Secured cookie property browser does not require HTTPS / SSL, http will work - no need to serve frontend or backend under https://localhost ...

编辑2022-03-02 -对于Safari (v15.1)，这是不正确的->在Safari http://localhost + cookie与安全- cookie将被忽略，而不是保存在浏览器中(解决方案:对于Safari + http://localhost删除Secure和SameSite如果提供)。

编辑2023-01-13 - @Barnaby报告说“Firefox拒绝设置它:'被拒绝，因为非https cookie不能被设置为'安全'。’”如果是这样的话，针对Safari的解决方案应该可以工作(见上面的EDIT 2022-03-02)。

诊断提示:

为了检查cookie是否被发送-打开浏览器开发工具并检查网络选项卡。找到后端请求并检查Headers -在请求头中搜索Cookie头，在响应头中搜索Set-Cookie 为了检查cookie是否被保存-打开浏览器开发工具，查看存储管理器(Firefox)，检查cookie并搜索前端域名，检查cookie是否存在，如果存在，检查它是什么时候创建的… 别忘了先在后端设置CORS

参考:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie

如果您正在从另一个域设置cookie(即通过XHR跨源请求设置cookie)，那么您需要确保在用于获取cookie的XMLHttpRequest上将withCredentials属性设置为true，如本文所述

文档。Cookie = valuename + "=" + value + ";" + expires + ";域=;path=/";

这种“域=;路径= /”;将采用动态域作为其cookie将工作在子域。 如果你想在localhost测试，它会工作

我基本上同意@Ralph Buchfelder的观点，但这里有一些放大，通过在我的本地机器(OS X / Apache / Chrome|Firefox)上尝试复制具有几个子域(例如example.com, fr.example.com, de.example.com)的系统的实验。

我编辑了/etc/hosts，将一些虚构的子域指向127.0.0.1:

127.0.0.1 localexample.com
127.0.0.1 fr.localexample.com
127.0.0.1 de.localexample.com

如果我在fr.localexample.com上工作，并且去掉域参数，则为fr.localexample.com正确存储cookie，但在其他子域中不可见。

如果我使用“。localexample.com”的域名，cookie将正确存储为fr.localexample.com，并且在其他子域中可见。

如果我使用的域是“localexample.com”，或者当我尝试的域只是“localexample”或“localhost”时，cookie没有被存储。

如果我使用“fr.localexample.com”或“。fr.localexample.com”的域，cookie将正确地存储为fr.localexample.com，并且(正确地)在其他子域中不可见。

所以定义域中至少需要两个点的要求似乎是正确的，尽管我不明白为什么它应该是正确的。

如果有人想尝试一下，这里有一些有用的代码:

<html>
<head>
<title>
Testing cookies
</title>
</head>
<body>
<?php
header('HTTP/1.0 200');
$domain = 'fr.localexample.com';    // Change this to the domain you want to test.
if (!empty($_GET['v'])) {
    $val = $_GET['v'];
    print "Setting cookie to $val<br/>";
    setcookie("mycookie", $val, time() + 48 * 3600, '/', $domain);
}
print "<pre>";
print "Cookie:<br/>";
var_dump($_COOKIE);
print "Server:<br/>";
var_dump($_SERVER);
print "</pre>";
?>
</body>
</html>

尝试了上面所有的选项。对我有用的是:

确保对服务器的请求将withCredentials设置为true。来自不同域的XMLHttpRequest不能为自己的域设置cookie值，除非在发出请求之前将withCredentials设置为true。 不要设置域名 设置路径= /

结果Set-Cookie报头:

Set-Cookie: session_token=74528588-7c48-4546-a3ae-4326e22449e5; Expires=Sun, 16 Aug 2020 04:40:42 GMT; Path=/

我也有同样的问题，我通过在cookie名称本身放置2个点而不指定任何域来修复它。

set-cookie: name.s1.s2=value; path=/; expires=Sun, 12 Aug 2018 14:28:43 GMT; HttpOnly