你可以使用localhost.org或。localhost.org，它总是会解析为127.0.0.1

我自己花了很多时间来解决这个问题。

使用PHP，这个页面上的任何东西都不适合我。我最终在我的代码中意识到，PHP的session_set_cookie_params()的“安全”参数总是被设置为TRUE。

因为我没有用https访问localhost，我的浏览器永远不会接受cookie。所以，我修改了我的代码的那一部分，有条件地设置'安全'参数基于$_SERVER['HTTP_HOST']是'localhost'或不是。现在工作得很好。

我希望这能帮助到一些人。

我基本上同意@Ralph Buchfelder的观点，但这里有一些放大，通过在我的本地机器(OS X / Apache / Chrome|Firefox)上尝试复制具有几个子域(例如example.com, fr.example.com, de.example.com)的系统的实验。

我编辑了/etc/hosts，将一些虚构的子域指向127.0.0.1:

127.0.0.1 localexample.com
127.0.0.1 fr.localexample.com
127.0.0.1 de.localexample.com

如果我在fr.localexample.com上工作，并且去掉域参数，则为fr.localexample.com正确存储cookie，但在其他子域中不可见。

如果我使用“。localexample.com”的域名，cookie将正确存储为fr.localexample.com，并且在其他子域中可见。

如果我使用的域是“localexample.com”，或者当我尝试的域只是“localexample”或“localhost”时，cookie没有被存储。

如果我使用“fr.localexample.com”或“。fr.localexample.com”的域，cookie将正确地存储为fr.localexample.com，并且(正确地)在其他子域中不可见。

所以定义域中至少需要两个点的要求似乎是正确的，尽管我不明白为什么它应该是正确的。

如果有人想尝试一下，这里有一些有用的代码:

<html>
<head>
<title>
Testing cookies
</title>
</head>
<body>
<?php
header('HTTP/1.0 200');
$domain = 'fr.localexample.com';    // Change this to the domain you want to test.
if (!empty($_GET['v'])) {
    $val = $_GET['v'];
    print "Setting cookie to $val<br/>";
    setcookie("mycookie", $val, time() + 48 * 3600, '/', $domain);
}
print "<pre>";
print "Cookie:<br/>";
var_dump($_COOKIE);
print "Server:<br/>";
var_dump($_SERVER);
print "</pre>";
?>
</body>
</html>

我只是玩玩而已。

Set-Cookie: _xsrf=2|f1313120|17df429d33515874d3e571d1c5ee2677|1485812120; Domain=localhost; Path=/

目前可以在Firefox和Chrome上运行。但是，我没有找到一种方法使它与卷曲一起工作。我试过Host-Header和——决心，没有运气，感谢任何帮助。

但是，如果我设置为，它在curl中工作

Set-Cookie: _xsrf=2|f1313120|17df429d33515874d3e571d1c5ee2677|1485812120; Domain=127.0.0.1; Path=/

代替。(Firefox不支持这个功能。)

我解决的跨站点cookie问题是这样的:

后端

服务器端

服务网站:http://localhost:8080 创建响应时，设置Cookie

属性:

SameSite=None; Secure; Path=/

客户端

Frontend(在我的例子中是Angular)

服务网站:http://localhost:4200/ 当发送请求到服务器(后端)

设置XHR.withCredentials = true:

var xhr = new XMLHttpRequest();
xhr.open('GET', 'http://localhost:8080/', true);
xhr.withCredentials = true;
xhr.send(null);

我的解释:

when backend and frontend domains differ the decision if the cookies will be saved in frontend domain cookie storage from received response is brought by the browser. Browser will allow sending cookies ONLY if XHR request has withCredentials=true and correct server Cookie attributes (HTTP Set-Cookie header) are recieved when backend and frontend domains differ the decision if the cookies will be sent within request is brought by the browser. Browser will allow this ONLY if XHR request has withCredentials=true in other words, if withCredentials=true is ommited - cookies won't be sent within request NOR will be recieved and saved from response recieved cookies are allways stored under frontend domain name in browser cookie storage. In case when server domain differs and cookies are saved successfully, the effect is the same as if they have been sent by frontend domain in the first place. if SameSite=None cookie attribute is omitted today's browser (Firefox/Chrome) will use default Lax mode which is too strict for cross site cookies if Secured cookie attribute is ommited - then SameSite=None will be ignored - it requires Secured to be set for localhost Secured cookie property browser does not require HTTPS / SSL, http will work - no need to serve frontend or backend under https://localhost ...

编辑2022-03-02 -对于Safari (v15.1)，这是不正确的->在Safari http://localhost + cookie与安全- cookie将被忽略，而不是保存在浏览器中(解决方案:对于Safari + http://localhost删除Secure和SameSite如果提供)。

编辑2023-01-13 - @Barnaby报告说“Firefox拒绝设置它:'被拒绝，因为非https cookie不能被设置为'安全'。’”如果是这样的话，针对Safari的解决方案应该可以工作(见上面的EDIT 2022-03-02)。

诊断提示:

为了检查cookie是否被发送-打开浏览器开发工具并检查网络选项卡。找到后端请求并检查Headers -在请求头中搜索Cookie头，在响应头中搜索Set-Cookie 为了检查cookie是否被保存-打开浏览器开发工具，查看存储管理器(Firefox)，检查cookie并搜索前端域名，检查cookie是否存在，如果存在，检查它是什么时候创建的… 别忘了先在后端设置CORS

参考:https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie

不同浏览器的结果也不同。

Chrome- 127.0.0.1工作，但localhost .localhost和“”不能。 Firefox- .localhost可以工作，但localhost、127.0.0.1和“”不能工作。

没有在Opera, IE或Safari中测试过