唯一对我有用的是在cookie上设置Path=/。

此外，路径属性的默认值似乎因浏览器而异，尽管我只测试了其中两种(Firefox和Chrome)。

Chrome试图设置cookie是;如果路径属性在Set-Cookie头中被省略，那么它将不会被存储和忽略。

然而，Firefox即使没有显式的路径属性也可以存储cookie。它只是用请求的路径设置它;我的请求url是/api/v1/users，路径被自动设置为/api/v1。

不管怎样，当path被设置为/时，即使没有显式的域，即domain =localhost或其他东西，这两个浏览器都可以工作。因此，每种浏览器处理cookie的方式都有所不同。

Cookie需要指定SameSite属性，None值曾经是默认值，但最近的浏览器版本将Lax作为默认值，以对某些类型的跨站请求伪造(CSRF)攻击具有相当强大的防御能力。

除了SameSite=Lax，你还应该有Domain=localhost，这样你的cookie就会关联到localhost并被保存。它应该看起来像这样:

document.cookie = `${name}=${value}${expires}; Path=/; Domain=localhost; SameSite=Lax`;

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie/SameSite

文档。Cookie = valuename + "=" + value + ";" + expires + ";域=;path=/";

这种“域=;路径= /”;将采用动态域作为其cookie将工作在子域。 如果你想在localhost测试，它会工作

如果您正在从另一个域设置cookie(即通过XHR跨源请求设置cookie)，那么您需要确保在用于获取cookie的XMLHttpRequest上将withCredentials属性设置为true，如本文所述

我只是玩玩而已。

Set-Cookie: _xsrf=2|f1313120|17df429d33515874d3e571d1c5ee2677|1485812120; Domain=localhost; Path=/

目前可以在Firefox和Chrome上运行。但是，我没有找到一种方法使它与卷曲一起工作。我试过Host-Header和——决心，没有运气，感谢任何帮助。

但是，如果我设置为，它在curl中工作

Set-Cookie: _xsrf=2|f1313120|17df429d33515874d3e571d1c5ee2677|1485812120; Domain=127.0.0.1; Path=/

代替。(Firefox不支持这个功能。)

另一个重要的细节是，expires=应该使用以下日期时间格式:Wdy, DD-Mon-YYYY HH:MM:SS GMT (RFC6265 -章节4.1.1)。

Set-Cookie:
  name=value;
  domain=localhost;
  expires=Thu, 16-07-2019 21:25:05 GMT;
  path=/