这是对上面关于Heroku服务器的CORS cookie的“Lode Michels”的回答，(以及其他云提供商，如AWS)

你的CORS cookie无法设置的原因是因为Heroku剥离了负载均衡器的SSL证书，所以当你试图在服务器上设置“安全”cookie时，它会失败，因为它不再来自安全连接。

您可以显式地指定连接是否安全，而不是cookie模块检查请求。 https://github.com/pillarjs/cookies

用可可豆，加入这个:

ctx.cookies.secure = true;

编辑:我不能直接评论这个答案，因为低于50的声誉

跨工地方法

若要允许通过CORS请求成功接收和发送cookie，请执行以下操作。

后端(服务器)HTTP报头设置:

将HTTP报头Access-Control-Allow-Credentials值设置为true。 确保设置了HTTP标头Access-Control-Allow-Origin和Access-Control-Allow-Headers。不要使用通配符*。当你设置允许的源时，请确保使用包括方案在内的整个源，即http不等同于CORS中的https。

有关在express js中设置CORS的更多信息，请阅读这里的文档。

Cookie设置: 2021年Chrome和Firefox更新时的Cookie设置:

SameSite = band Secure

当执行SameSite=None时，需要设置Secure。查看文档在SameSite和安全的要求。还要注意，Chrome开发工具现在已经改进了过滤和突出显示网络选项卡和应用程序选项卡中的cookie问题。

前端(客户端):设置XMLHttpRequest。凭据标志为true，这可以通过不同的方式实现，这取决于所使用的请求-响应库:

ES6 fetch()这是HTTP的首选方法。使用凭证:'include'。 jQuery 1.5.1用于遗留目的。使用xhrFields: {withCredentials: true}。 axios作为一个流行的NPM库的例子。使用withCredentials: true。

代理方法

避免做跨站点(CORS)的事情。您可以通过代理来实现这一点。只需使用DNS(子域)和/或负载均衡将所有流量发送到相同的顶级域名和路由。对于Nginx来说，这相对来说不太费力。

这种方法与JAMStack完美结合。JAMStack要求API和Webapp代码在设计上完全解耦。越来越多的用户屏蔽第三方cookie。如果API和Webapp可以很容易地在同一台主机上提供服务，第三方问题(跨站点/ CORS)就解决了。在这里或这里阅读有关JAMStack的信息。

旁注

事实证明，如果域名包含端口，Chrome将不会设置cookie。为localhost(没有端口)设置它不是问题。非常感谢Erwin的提示!

对于express，请将express库升级到4.17.1，这是最新的稳定版本。然后;

在CorsOption中:将origin设置为本地主机url或前端生产url，并将凭据设置为true 如

  const corsOptions = {
    origin: config.get("origin"),
    credentials: true,
  };

我使用config npm module动态地设置了我的原点。

然后，在res.cookie中:

对于localhost:你根本不需要设置sameSite和secure选项，你可以将http cookie的httpOnly设置为true，以防止XSS攻击和其他有用的选项，这取决于你的用例。

对于生产环境，您需要将sameSite设置为none用于跨源请求，并将secure设置为true。记住，sameSite只适用于express最新版本，目前最新的chrome版本只设置了https上的cookie，因此需要安全选项。

以下是我如何让我的作品充满活力

 res
    .cookie("access_token", token, {
      httpOnly: true,
      sameSite: app.get("env") === "development" ? true : "none",
      secure: app.get("env") === "development" ? false : true,
    })

这个代码对我有用

在后端

在corsOptions中设置凭据为true:

const corsOptions = {
 credentials: true,
  };

发送请求前设置cookie:

res.cookie('token', 'xxx-xxx-xxx', { 
maxAge: 24*60*60*1000, httpOnly: true, 
SameSite:"None" })

在前端

浏览器请求(使用axios):

axios.post('uri/signin', 
JSON.stringify({ username: 'userOne', 
password: '123456'}),. 
{withCredentials:true})
.the(result 
=>console.log(result?.data))
.catch(err => console.log(err))

注意2020年发布的Chrome浏览器。

未来的Chrome版本将只提供跨站点的cookie 请求，如果他们设置为SameSite=None和安全。

所以如果你的后端服务器没有设置SameSite=None, Chrome将默认使用SameSite=Lax，不会使用这个cookie {withCredentials: true}请求。

更多信息https://www.chromium.org/updates/same-site。

Firefox和Edge的开发人员也希望在未来发布这一功能。

Spec在这里找到:https://datatracker.ietf.org/doc/html/draft-west-cookie-incrementalism-01#page-8

在一天多的时间里，我尝试了你所有的建议和更多的建议，我投降了。 Chrome只是不接受我的跨域cookie在本地主机。 没有错误，只是默默地忽略。 我想有http仅饼干更安全的存储令牌。 所以对于localhost来说，代理听起来是最好的解决方法。我还没试过。

我最后做的事，也许能帮到别人。

后端(节点/快递/打印稿)

像往常一样设置cookie

res.status(200).cookie("token", token, cookieOptions)

为localhost做一个工作

// if origin localhost
response.setHeader("X-Set-Cookie", response.getHeader("set-cookie") ?? "");

在cors中允许x-set-cookie头

app.use(cors({
    //...
    exposedHeaders: [
        "X-Set-Cookie",
        //... 
    ]
}));

前端(Axios)

关于Axios响应 删除域=，所以它是默认的。 拆分多个cookie并存储在本地。

// Localhost cookie work around
const xcookies = response.headers?.["x-set-cookie"];
if(xcookies !== undefined){
    xcookies
        .replace(/\s+Domain=[^=\s;]+;/g, "")
        .split(/,\s+(?=[^=\s]+=[^=\s]+)/)
        .forEach((cookie:string) => {
            document.cookie = cookie.trim();
    });
}

不理想，但我可以继续我的生活了。

总的来说，我认为这太复杂了:-(

更新我的用例，也许我们可以解决它?

这是一个自定义域名的heroku服务器。 根据这篇文章，这应该是可以的 https://devcenter.heroku.com/articles/cookies-and-herokuapp-com

我做了一个孤立的测试用例，但仍然没有乐趣。 我很确定我以前在FireFox中见过它的工作，但目前似乎没有什么工作，除了我讨厌的工作。

服务器端

app.set("trust proxy", 1);

app.get("/cors-cookie", (request: Request, response: Response) => {

    // http://localhost:3000
    console.log("origin", request.headers?.["origin"]);

    const headers = response.getHeaders();
    Object.keys(headers).forEach(x => {
        response.removeHeader(x);
        
        console.log("remove header ", x, headers[x]);
    });
    console.log("headers", response.getHeaders());

    const expiryOffset = 1*24*60*60*1000; // +1 day

    const cookieOptions:CookieOptions = {
        path: "/",
        httpOnly: true,
        sameSite: "none",
        secure: true,
        domain: "api.xxxx.nl",
        expires: new Date(Date.now() + expiryOffset)
    }

    return response
        .status(200)
        .header("Access-Control-Allow-Credentials", "true")
        .header("Access-Control-Allow-Origin", "http://localhost:3000")
        .header("Access-Control-Allow-Methods", "GET,HEAD,OPTIONS,POST,PUT")
        .header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept")
        .cookie("test-1", "_1_", cookieOptions)
        .cookie("test-2", "_2_", {...cookieOptions, ...{ httpOnly: false }})
        .cookie("test-3", "_3_", {...cookieOptions, ...{ domain: undefined }})
        .cookie("test-4", "_4_", {...cookieOptions, ...{ domain: undefined, httpOnly: false }})
        .cookie("test-5", "_5_", {...cookieOptions, ...{ domain: undefined, sameSite: "lax" }})
        .cookie("test-6", "_6_", {...cookieOptions, ...{ domain: undefined, httpOnly: false, sameSite: "lax" }})
        .cookie("test-7", "_7_", {...cookieOptions, ...{ domain: "localhost"}}) // Invalid domain
        .cookie("test-8", "_8_", {...cookieOptions, ...{ domain: ".localhost"}}) // Invalid domain
        .cookie("test-9", "_9_", {...cookieOptions, ...{ domain: "http://localhost:3000"}}) // Invalid domain
        .json({
            message: "cookie"
        });
});

客户端

const response = await axios("https://api.xxxx.nl/cors-cookie", {
    method: "get",
    withCredentials: true,
    headers: {
        "Accept": "application/json",
        "Content-Type": "application/json",                
    }
});

哪个会产生以下响应

我在网络>请求> cookie选项卡中看到cookie。

但是在Application > Storage > cookies和document.cookie中没有cookie。