这几年经常与安全打交道，深知 COOKIE 对一个网站的安全影响有多大，所以在编写相与 cookie 相关代码的时候，都会特别的小心。

最近做一个系统，有几个地方用到 cookie, 然后统一把 cookie 的几个属性都设置为自己认为最安全的状态： httponly: true, secure: true, samesite: strict。

然后发现，在使用 ajax 请求的时候， 服务器端服务了 cookie (有 set-cookie 头)，但是再请求其他页面时，发现通过 ajax 请求设置的 cookie 都没有带过去， 通过开发者工具查看网站下面的 cookie，发现里面也没有。然后把同样的代码，放到一个普通的请求页面，发现设置的 cookie 又没有问题。

经过不断的测试，终于发现是 path 和 secure 引起的问题， 因为在本地测试，所以是使用 http, 这个时候把 secure 设置为 true, 通过 ajax 请求设置的 cookie 不会设置到网站，还有一个就是 path, 之前没有设置，导致 cookie 也不生效，最终把 secure 设置为 false, path 设置为 / 就好了。