没有所谓的跨域cookie。您可以在foo.example.com和bar.example.com之间共享cookie，但绝不可以在example.com和example2.com之间共享cookie，这是出于安全原因。

最聪明的解决办法就是效仿facebook的做法。当你访问任何域名时，facebook如何知道你是谁?其实很简单:

The Like button actually allows Facebook to track all visitors of the external site, no matter if they click it or not. Facebook can do that because they use an iframe to display the button. An iframe is something like an embedded browser window within a page. The difference between using an iframe and a simple image for the button is that the iframe contains a complete web page – from Facebook. There is not much going on on this page, except for the button and the information about how many people have liked the current page.

所以当你在cnn.com上看到一个“喜欢”按钮时，你实际上是在同时访问一个Facebook页面。这使得Facebook可以读取你电脑上的cookie，这些cookie是它在你上次登录Facebook时创建的。

每种浏览器的一个基本安全规则是，只有创建了cookie的网站以后才能读取它。这就是iframe的优势:它允许Facebook读取你的Facebook-cookie，即使你在访问另一个网站。这就是他们如何在cnn.com上认出你，并在那里展示你的朋友。

来源:

http://dorianroy.com/blog/2010/04/how-facebooks-like-button-works/ https://stackoverflow.com/a/8256920/715483

因为很难做第三方cookie，也有些浏览器不允许这样做。

你可以尝试将它们存储在HTML5本地存储中，然后将它们与前端应用程序的每个请求一起发送。

基于浏览器的存储主要有三种:

会话存储 本地存储 cookie存储

安全cookie -用于加密网站，以提供保护，免受来自黑客的任何可能威胁。 访问cookie - document.cookie。这意味着这个cookie是公开的，可以通过跨站点脚本来利用。保存的cookie值可以通过浏览器控制台看到。

作为预防措施，您应该总是尝试使用JavaScript使您的cookie在客户端不可访问。

HTTPonly - ensures that a cookie is not accessible using the JavaScript code. This is the most crucial form of protection against cross-scripting attacks. A secure attribute - ensures that the browser will reject cookies unless the connection happens over HTTPS. sameSite attribute improves cookie security and avoids privacy leaks. sameSite=Lax - It is set to Lax (sameSite = Lax) meaning a cookie is only set when the domain in the URL of the browser matches the domain of the cookie, thus eliminating third party’s domains. This will restrict cross-site sharing even between different domains that the same publisher owns. we need to include SameSite=None to avoid the new default of Lax:

注意:有一个规范草案要求当SameSite属性被设置为“none”时Secure属性被设置为true。一些web浏览器或其他客户端可能采用此规范。

使用include作为{withCredentials: true}必须包含来自前端的请求的所有cookie。

const data = { email: 'youremailaddress@gmail.com' , password: '1234' };
const response = await axios.post('www.yourapi.com/login', data , { withCredentials: true });

Cookie只能在安全的HTTPS连接上被接受。为了使其工作，我们必须将web应用程序移动到HTTPS。

在express.js

res.cookie('token', token, {
      maxAge: 1000 * 60 * 60 * 24, // would expire after (for 15 minutes  1000 * 60 * 15 ) 15 minutes
      httpOnly: true, // The cookie only accessible by the web server
      sameSite: 'none',
      secure: true, // Marks the cookie to be used with HTTPS only.
    });

参考文献1，参考文献2

你可以使用隐形的iframe来获取cookie。假设有两个定义域，a。example和b。example。对于a.example域的index.html，可以添加(注意height=0 width=0):

<iframe height="0" id="iframe" src="http://b.example" width="0"></iframe>

这样，您的网站将获得b.example cookie，假设http://b.example设置了cookie。

下一件事是通过JavaScript在iframe中操作站点。如果不拥有第二个域，iframe内部的操作可能会成为一个挑战。但是，如果能够访问这两个域，在iframe的src中引用正确的网页应该会给出一个想要获得的cookie。

据我所知，cookie受到“同源”策略的限制。但是，使用CORS，您可以接收和使用“服务器B”cookie，在“服务器B”上从“服务器a”建立持久会话。

尽管，这需要在“服务器B”上设置一些头文件:

Access-Control-Allow-Origin: http://server-a.example.com
Access-Control-Allow-Credentials: true

你将需要在所有的“服务器A”请求(例如:xhr)上发送“withCredentials”标志。withCredentials = true;)

你可以在这里阅读:

http://www.html5rocks.com/en/tutorials/cors/

https://developer.mozilla.org/en-US/docs/HTTP/Access_control_CORS