唯一对我有用的是在cookie上设置Path=/。

此外，路径属性的默认值似乎因浏览器而异，尽管我只测试了其中两种(Firefox和Chrome)。

Chrome试图设置cookie是;如果路径属性在Set-Cookie头中被省略，那么它将不会被存储和忽略。

然而，Firefox即使没有显式的路径属性也可以存储cookie。它只是用请求的路径设置它;我的请求url是/api/v1/users，路径被自动设置为/api/v1。

不管怎样，当path被设置为/时，即使没有显式的域，即domain =localhost或其他东西，这两个浏览器都可以工作。因此，每种浏览器处理cookie的方式都有所不同。

当cookie设置为显式域'localhost'时，如下所示…

set - cookie: name =价值; 域=主机;到期=周四，16- july 2009 21:25:05 GMT;路径= /

.．.然后浏览器会忽略它，因为它不包括至少两个句点，也不是七个专门处理的顶级域之一。

.．.域必须至少有两(2)或三(3)个句点 防止域名形式为“。com”，“。edu”和“va.us”。任何领域 在列出的七个特殊顶级域之一中失败 下面只需要两个周期。任何其他域至少需要 三。七个特殊的顶级域名是:"COM"， "EDU"， "NET"， "ORG"， "GOV"， "MIL"， "INT"。

请注意，上面的周期数可能假设需要一个前导周期。然而，在现代浏览器中，这个句点被忽略了，它应该读作…

至少一(1)或两(2)个句点

请注意，domain属性的默认值是生成cookie响应的服务器的主机名。

因此，对于没有为localhost设置cookie的解决方法是简单地不指定域属性，并让浏览器使用默认值-这似乎没有域属性中的显式值所具有的相同约束。

我自己花了很多时间来解决这个问题。

使用PHP，这个页面上的任何东西都不适合我。我最终在我的代码中意识到，PHP的session_set_cookie_params()的“安全”参数总是被设置为TRUE。

因为我没有用https访问localhost，我的浏览器永远不会接受cookie。所以，我修改了我的代码的那一部分，有条件地设置'安全'参数基于$_SERVER['HTTP_HOST']是'localhost'或不是。现在工作得很好。

我希望这能帮助到一些人。

Cookie需要指定SameSite属性，None值曾经是默认值，但最近的浏览器版本将Lax作为默认值，以对某些类型的跨站请求伪造(CSRF)攻击具有相当强大的防御能力。

除了SameSite=Lax，你还应该有Domain=localhost，这样你的cookie就会关联到localhost并被保存。它应该看起来像这样:

document.cookie = `${name}=${value}${expires}; Path=/; Domain=localhost; SameSite=Lax`;

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie/SameSite

按照设计，域名必须至少有两个点;否则浏览器将认为它们无效。(详见http://curl.haxx.se/rfc/cookie_spec.html)

在localhost上工作时，必须完全省略cookie域。你不应该将它设置为""或NULL或FALSE而不是"localhost"。这还不够。

对于PHP，请参阅http://php.net/manual/en/function.setcookie.php#73107上的评论。

如果使用Java Servlet API，完全不要调用cookie.setDomain("…")方法。

我也有同样的问题，我通过在cookie名称本身放置2个点而不指定任何域来修复它。

set-cookie: name.s1.s2=value; path=/; expires=Sun, 12 Aug 2018 14:28:43 GMT; HttpOnly