尝试了上面所有的选项。对我有用的是:

确保对服务器的请求将withCredentials设置为true。来自不同域的XMLHttpRequest不能为自己的域设置cookie值，除非在发出请求之前将withCredentials设置为true。 不要设置域名 设置路径= /

结果Set-Cookie报头:

Set-Cookie: session_token=74528588-7c48-4546-a3ae-4326e22449e5; Expires=Sun, 16 Aug 2020 04:40:42 GMT; Path=/

经过多次试验和阅读各种帖子后，这是有效的。我可以设置多个cookie，读取它们，设置时间为负，然后删除它们。

func addCookie(w http.ResponseWriter, name string, value string) {
    expire := time.Now().AddDate(0, 0, 1)
    cookie := http.Cookie{
       Name:    name,
       Value:   value,
       Expires: expire,
       Domain:  ".localhost",
       Path:    "/",
    }
    http.SetCookie(w, &cookie)
}

按照设计，域名必须至少有两个点;否则浏览器将认为它们无效。(详见http://curl.haxx.se/rfc/cookie_spec.html)

在localhost上工作时，必须完全省略cookie域。你不应该将它设置为""或NULL或FALSE而不是"localhost"。这还不够。

对于PHP，请参阅http://php.net/manual/en/function.setcookie.php#73107上的评论。

如果使用Java Servlet API，完全不要调用cookie.setDomain("…")方法。

另一个重要的细节是，expires=应该使用以下日期时间格式:Wdy, DD-Mon-YYYY HH:MM:SS GMT (RFC6265 -章节4.1.1)。

Set-Cookie:
  name=value;
  domain=localhost;
  expires=Thu, 16-07-2019 21:25:05 GMT;
  path=/

这里没有一个答案对我有用。我把我的PHP作为页面的第一件事来解决这个问题。

与其他报头一样，cookie必须在脚本输出之前发送(这是协议限制)。这要求您在任何输出之前调用此函数，包括和标记以及任何空白。

从http://php.net/manual/en/function.setcookie.php

Cookie需要指定SameSite属性，None值曾经是默认值，但最近的浏览器版本将Lax作为默认值，以对某些类型的跨站请求伪造(CSRF)攻击具有相当强大的防御能力。

除了SameSite=Lax，你还应该有Domain=localhost，这样你的cookie就会关联到localhost并被保存。它应该看起来像这样:

document.cookie = `${name}=${value}${expires}; Path=/; Domain=localhost; SameSite=Lax`;

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie/SameSite