当您使用https://<local-domain>然后使用http://<local-domain>时，似乎有一个问题。https:// site设置cookie后，http:// site不会随请求一起发送cookie。强制重载和清除缓存没有帮助。只有手动清除cookie才能工作。同样，如果我在https://页面上清除它们，那么http://页面将重新开始工作。

看起来和"严格安全cookie "有关。解释得很好。它于2017-04-19在Chrome 58中发布。

看起来Chrome确实记录了安全cookie和非安全cookie，因为当点击地址栏图标时，它会根据页面的协议显示正确的cookie。

但是开发工具>应用程序> Cookies将不会显示一个非安全cookie，当有一个安全cookie的相同名称的同一域，它也不会发送非安全cookie与任何请求。这似乎是一个Chrome错误，或者如果这种行为是预期的，应该有一些方法来查看安全cookie时，http页面和一个指示，他们正在被覆盖。

解决方法是使用不同的命名cookie，这取决于它们是用于http站点还是https站点，并根据您的应用程序具体命名它们。__Secure-前缀表明cookie应该是严格安全的，这也是一个很好的实践，因为安全和非安全不会冲突。前缀还有其他好处。

使用不同的/etc/hosts域进行https和http访问也可以，但是一次意外的https://localhost访问将阻止任何相同名称的cookie在http://localhost站点上工作-所以这不是一个好的解决方案。

我已经提交了Chrome错误报告。

我有一个类似的问题，我的后端和前端运行在本地主机，但不同的端口。为了解决这个问题，我在Set-Cookie中省略了域，并在我的请求选项中使用了凭据:true。

在这里看到的

这里没有一个答案对我有用。我把我的PHP作为页面的第一件事来解决这个问题。

与其他报头一样，cookie必须在脚本输出之前发送(这是协议限制)。这要求您在任何输出之前调用此函数，包括和标记以及任何空白。

从http://php.net/manual/en/function.setcookie.php

我也有同样的问题，我通过在cookie名称本身放置2个点而不指定任何域来修复它。

set-cookie: name.s1.s2=value; path=/; expires=Sun, 12 Aug 2018 14:28:43 GMT; HttpOnly

我只是玩玩而已。

Set-Cookie: _xsrf=2|f1313120|17df429d33515874d3e571d1c5ee2677|1485812120; Domain=localhost; Path=/

目前可以在Firefox和Chrome上运行。但是，我没有找到一种方法使它与卷曲一起工作。我试过Host-Header和——决心，没有运气，感谢任何帮助。

但是，如果我设置为，它在curl中工作

Set-Cookie: _xsrf=2|f1313120|17df429d33515874d3e571d1c5ee2677|1485812120; Domain=127.0.0.1; Path=/

代替。(Firefox不支持这个功能。)

唯一对我有用的是在cookie上设置Path=/。

此外，路径属性的默认值似乎因浏览器而异，尽管我只测试了其中两种(Firefox和Chrome)。

Chrome试图设置cookie是;如果路径属性在Set-Cookie头中被省略，那么它将不会被存储和忽略。

然而，Firefox即使没有显式的路径属性也可以存储cookie。它只是用请求的路径设置它;我的请求url是/api/v1/users，路径被自动设置为/api/v1。

不管怎样，当path被设置为/时，即使没有显式的域，即domain =localhost或其他东西，这两个浏览器都可以工作。因此，每种浏览器处理cookie的方式都有所不同。