遇到这种Postman正常但浏览器死活不发Cookie的问题真的很头疼，毕竟浏览器的跨域Cookie规则比Postman严格太多了。我帮你梳理下可能的问题点和排查步骤，结合你给出的代码细节来分析：

先确认核心前提：浏览器真的存了Cookie吗？ #

你说浏览器收到了Cookie，但一定要亲眼确认——打开浏览器开发者工具的「Application」标签，找到「Cookies」下的后端ngrok域名，看看refreshToken是不是在里面，并且属性正确：

• ✅ HTTPOnly 打勾（这个设置是对的，能有效防止XSS攻击）
• ✅ Secure 打勾（因为你设了sameSite: 'none'，必须配合Secure属性才能生效）
• ✅ SameSite 显示为 None
• ✅ Path 是你设置的/auth/refresh

如果Cookie压根没出现在这里，那问题出在后端设置Cookie的环节，先排查下面几点：

1. CORS Origin必须精确匹配 #

你的后端CORS设置用了origin: process.env.WEB_APP_ROOT_URL，这个环境变量的值必须和前端的URL完全一致——比如前端是https://localhost:5173，就不能少了https，也不能写错端口号，甚至不能多一个多余的斜杠。浏览器对CORS Origin的匹配是严格的，哪怕差一点都会拒绝设置Cookie。

2. 确保环境是HTTPS #

你设了secure: true，意味着只有HTTPS环境下浏览器才会保存这个Cookie。虽然你用了mkcert和ngrok，但还是要确认：

• 前端的页面是HTTPS的（localhost用mkcert配置后应该没问题）
• 后端的API地址是ngrok的HTTPS地址，不是HTTP

如果Cookie存了但请求时没发送 #

这时候问题出在Cookie的路径、域名或者跨域策略上：

1. Cookie Path的匹配问题 #

你设置了path: '/auth/refresh'，这意味着只有当请求的路径完全匹配这个前缀时，浏览器才会发送Cookie。比如如果你的后端路由是/auth/refresh/（带末尾斜杠），而前端请求的是/auth/refresh（不带斜杠），就会匹配失败。

可以先把Path改成/测试一下：

response.cookie('refreshToken', refreshToken, {
  httpOnly: true,
  secure: true,
  sameSite: 'none',
  maxAge: 7 * 24 * 60 * 60 * 1000,
  path: '/', // 临时改成根路径验证
});

如果这时候能正常发送Cookie，再调整回/auth/refresh，确保请求路径和Cookie路径完全一致。

2. 跨域场景下的Domain设置 #

因为你的前端是localhost，后端是ngrok的域名，属于不同域名。默认情况下，Cookie的Domain会被设为后端的ngrok域名，理论上请求该域名时浏览器会发送Cookie，但有时候浏览器的跨域策略会有严格限制。

你可以尝试手动设置Cookie的Domain为你的ngrok域名（注意不要带https，只写纯域名，比如xxxx.ngrok.io）：

response.cookie('refreshToken', refreshToken, {
  httpOnly: true,
  secure: true,
  sameSite: 'none',
  maxAge: 7 * 24 * 60 * 60 * 1000,
  path: '/auth/refresh',
  domain: 'xxxx.ngrok.io', // 替换成你的ngrok实际域名
});

3. 用Vite代理避免跨域问题 #

跨域Cookie本来就容易出问题，不如用Vite的代理功能，让前端请求同域路径，由Vite转发到后端的ngrok地址。这样浏览器会认为是同域请求，Cookie的处理会顺畅很多。

在vite.config.ts里添加代理配置：

import { defineConfig } from 'vite';
import react from '@vitejs/plugin-react';

export default defineConfig({
  plugins: [react()],
  server: {
    proxy: {
      '/auth': {
        target: 'https://xxxx.ngrok.io', // 你的ngrok后端地址
        changeOrigin: true,
        secure: true,
      },
    },
  },
});

然后前端的请求就改成/auth/refresh，不用再写完整的ngrok地址，同时可以把后端Cookie的sameSite改成'lax'或者'strict'，更安全也更兼容。

最后再确认前端代码 #

你的前端fetch已经加了credentials: 'include'，这个是对的——跨域请求必须加这个才能发送Cookie，没问题。只要后端的Cookie设置正确，这个配置就不会有问题。

内容来源于stack exchange