按照设计，域名必须至少有两个点;否则浏览器将认为它们无效。(详见http://curl.haxx.se/rfc/cookie_spec.html)

在localhost上工作时，必须完全省略cookie域。你不应该将它设置为""或NULL或FALSE而不是"localhost"。这还不够。

对于PHP，请参阅http://php.net/manual/en/function.setcookie.php#73107上的评论。

如果使用Java Servlet API，完全不要调用cookie.setDomain("…")方法。

在2011年开放的Chromium上有一个问题，如果你显式地将域设置为“localhost”，你应该将它设置为false或未定义。

你可以使用localhost.org或。localhost.org，它总是会解析为127.0.0.1

localhost:你可以使用:domain: ".app。Localhost”，它会工作。“domain”参数需要在域名中加上一个或多个点，用于设置cookie。然后你可以让会话跨localhost子域工作，比如:api.app.localhost:3000。

文档。Cookie = valuename + "=" + value + ";" + expires + ";域=;path=/";

这种“域=;路径= /”;将采用动态域作为其cookie将工作在子域。 如果你想在localhost测试，它会工作

当您使用https://<local-domain>然后使用http://<local-domain>时，似乎有一个问题。https:// site设置cookie后，http:// site不会随请求一起发送cookie。强制重载和清除缓存没有帮助。只有手动清除cookie才能工作。同样，如果我在https://页面上清除它们，那么http://页面将重新开始工作。

看起来和"严格安全cookie "有关。解释得很好。它于2017-04-19在Chrome 58中发布。

看起来Chrome确实记录了安全cookie和非安全cookie，因为当点击地址栏图标时，它会根据页面的协议显示正确的cookie。

但是开发工具>应用程序> Cookies将不会显示一个非安全cookie，当有一个安全cookie的相同名称的同一域，它也不会发送非安全cookie与任何请求。这似乎是一个Chrome错误，或者如果这种行为是预期的，应该有一些方法来查看安全cookie时，http页面和一个指示，他们正在被覆盖。

解决方法是使用不同的命名cookie，这取决于它们是用于http站点还是https站点，并根据您的应用程序具体命名它们。__Secure-前缀表明cookie应该是严格安全的，这也是一个很好的实践，因为安全和非安全不会冲突。前缀还有其他好处。

使用不同的/etc/hosts域进行https和http访问也可以，但是一次意外的https://localhost访问将阻止任何相同名称的cookie在http://localhost站点上工作-所以这不是一个好的解决方案。

我已经提交了Chrome错误报告。