兄弟我太懂这种明明按文档写却死活不生效的崩溃感了！我之前也踩过res.clearCookie的坑，结合你贴的前后端代码，给你梳理几个大概率能解决问题的排查点：

1. 先把CORS的Origin设置逻辑改对！ #

你后端的CORS设置有个致命问题：循环给res.setHeader('Access-Control-Allow-Origin', allowedOrigins[i])会导致最终只有最后一个origin生效，其他请求的origin都会因为不匹配而被浏览器拦截，Cookie的读写（包括清除）都会直接失效。

正确的写法应该是先判断请求的origin是否在允许列表里，再设置对应的origin：

App.use(function (req, res, next) {
  const origin = req.headers.origin;
  if (allowedOrigins.includes(origin)) {
    res.setHeader('Access-Control-Allow-Origin', origin);
  }
  res.setHeader('Access-Control-Allow-Methods', 'GET, POST, OPTIONS, PUT, PATCH, DELETE');
  res.setHeader('Access-Control-Allow-Headers', 'X-Requested-With, Content-Type');
  res.setHeader('Access-Control-Allow-Credentials', true);
  // 处理OPTIONS预检请求，避免跨域预检失败
  if (req.method === 'OPTIONS') {
    return res.sendStatus(200);
  }
  next();
});

这个是很多跨域Cookie问题的根源，先把这个改了再说！

2. 清除Cookie时要完全匹配设置时的所有参数 #

虽然你已经加了path: "/"和httpOnly: false，但再仔细核对一遍：设置Cookie时的所有非默认参数，清除时必须完全一致。比如如果你的Cookie设置了secure: true（生产环境常用），那清除时也要带上secure: true；如果有domain参数，也必须同步加上。

另外注意：expires参数不用在清除时设置，Express会自动把过期时间设为过去的时间。

3. 不要把Cookie清除逻辑依赖于JWT验证结果 #

你现在的clearCookies函数是先验证Cookie里的JWT，只有验证通过才执行清除：

function clearCookies(req, res) {
  const userData = verifyCookies(req);
  if (userData !== null && userData.length > 0) {
    res.clearCookie("cookies", {path: "/", httpOnly: false}).sendStatus(200);
  }
}

这会导致JWT过期/无效时，根本不会执行清除操作，浏览器里的Cookie会一直存在！不管JWT是否有效，我们的目标都是删掉浏览器里的Cookie，所以应该直接执行清除：

function clearCookies(req, res) {
  // 不管Cookie是否有效，先强制清除浏览器端的Cookie
  res.clearCookie("cookies", {path: "/", httpOnly: false});
  // 后续可以根据验证结果返回对应状态，不影响清除逻辑
  const userData = verifyCookies(req);
  res.sendStatus(userData?.length ? 200 : 200); // 状态码可根据业务调整
}

4. 前端Axios的参数简化一下 #

Axios里只需要设置withCredentials: true就够了，credentials: 'same-origin'是Fetch API的选项，Axios不识别这个，多余的参数可能反而引发冲突。把前端所有请求的配置改成：

// 比如verifyCookies里的请求
Axios.get(`${apiUrl}/api/profile`, { withCredentials: true })

其他GET/POST/DELETE请求也一样，去掉credentials: 'same-origin'。

5. 浏览器端的排查小技巧 #

• 打开开发者工具的Application标签，找到Cookies选项，看看你的cookies字段是否存在，它的Path、Domain、HttpOnly属性和你设置的是否完全一致。
• 手动清除Cookie后刷新页面，再测试登录登出流程，看是否能正常清除。
• 检查浏览器是否开启了“阻止第三方Cookie”，如果是跨域场景，这个设置会直接影响Cookie的读写。

先把CORS的问题解决，这个是最常见的元凶，然后再调整清除逻辑，应该就能解决了！如果还是不行，再告诉我你的前后端域名配置细节，我再帮你深挖~