这个问题我之前帮客户排查过几乎完全一致的场景——Zebra设备的定制化Android内嵌WebView在HTTP局域网环境下，对AJAX响应的Set-Cookie处理确实有特殊的兼容性问题，结合你的描述，核心问题集中在SameSite属性的HTTP环境兼容性和Android WebView对非安全上下文Cookie的存储时序两个方面，下面是具体的原因分析和可落地的解决方案：

一、问题根因拆解 #

1. SameSite属性的HTTP环境冲突 #

你提到的两种Cookie配置里，SameSite=None是核心坑点：

• 现代Chrome/Android WebView的安全规则明确要求：如果Cookie设置了SameSite=None，必须同时搭配Secure属性（仅允许HTTPS环境下存储）。但你的场景是HTTP局域网，无法满足Secure要求，这时候WebView会直接忽略甚至拒绝存储这个Cookie，导致跳转时会话丢失。
• 而SameSite=Lax虽然在HTTP环境下是允许的，但Zebra设备的定制化WebView（Zebra通常会对系统做安全加固）可能对非HTTPS来源的AJAX响应Cookie设置了更低的存储优先级，甚至会触发"非安全上下文Cookie延迟存储"的机制，这就是为什么时好时坏——有时候Cookie在跳转前完成存储，有时候没赶上。

2. Android WebView对HTTP AJAX Cookie的时序问题 #

部分Android WebView版本（尤其是Android 10及以下，或Zebra定制的旧版WebView）会对非HTTPS来源的AJAX响应的Set-Cookie做异步存储处理，而你当前的代码是AJAX成功后立即跳转，这时候Cookie可能还没完成写入本地存储，导致/dashboard请求无法带上Cookie，表现为会话丢失。重试时刚好赶上Cookie存储完成的时机，所以偶尔成功。

二、可落地的解决方案（针对CodeIgniter框架） #

1. 核心：调整会话Cookie属性（兼顾所有平台） #

因为是HTTP局域网环境，绝对不能添加Secure属性，同时必须放弃SameSite=None，改用SameSite=Lax。以CodeIgniter为例，修改application/config/config.php中的会话配置：

// 禁用Secure（HTTP环境下必须为FALSE）
$config['cookie_secure'] = FALSE;
// 改用SameSite=Lax，这是HTTP环境下兼容所有浏览器/WebView的最优选择
$config['cookie_samesite'] = 'Lax';
// 保持Path为根路径，确保所有子路径请求都能带上Cookie
$config['cookie_path'] = '/';
// 保留HttpOnly，避免XSS风险
$config['cookie_httponly'] = TRUE;
// 局域网IP访问时，留空domain即可，无需指定IP
$config['cookie_domain'] = '';

为什么这个配置有效？

• SameSite=Lax：允许同站点的AJAX请求设置Cookie，且在同站点跳转时会自动带上Cookie，完全适配你的AJAX登录后跳转到/dashboard的场景，同时兼容桌面浏览器和Android WebView。
• 无Secure属性：HTTP环境下必须的，否则Cookie会被直接拒绝存储。
• Path=/：确保所有子路径（如/LPM/）的请求都能匹配到Cookie，避免路径匹配失败。

2. 解决时序问题：给AJAX跳转添加微小延迟 #

针对WebView可能的Cookie存储延迟，在AJAX成功回调后添加100-200ms的延迟再跳转，给WebView足够的时间完成Cookie写入：

$.ajax({
  url: "/login/login",
  type: "POST",
  data: $("#quickForm").serialize(),
  dataType: "json",
  success: function (data) {
    if (data.status) {
      // 给WebView预留Cookie存储时间，避免跳转时Cookie未就绪
      setTimeout(() => {
        window.location.href = "/dashboard";
      }, 150);
    }
  },
  // 可选：添加错误回调，方便排查偶发问题
  error: function(xhr, status, err) {
    console.error("登录请求失败:", err);
    // 可以给用户提示重试
  }
});

这个延迟非常短，用户几乎感知不到，但能有效解决"跳转时Cookie未写入"的时序问题。

三、兜底调试与优化方案 #

如果上述配置后仍有偶发问题，可以尝试以下兜底方案：

1. 临时关闭HttpOnly调试 #

为了确认Cookie是否真的被存储，可以临时将$config['cookie_httponly']设为FALSE，然后在Zebra设备的WebView控制台中执行console.log(document.cookie)，查看是否包含ci_session，确认Cookie是否存储成功。调试完成后务必改回TRUE保障安全。

2. 指定Cookie Domain（可选） #

如果你的应用固定用http://10.246.142.20/LPM/访问，可以尝试指定Cookie的Domain为该IP：

$config['cookie_domain'] = '10.246.142.20';

这能帮助WebView更明确地识别Cookie的归属域名，避免跨路径的存储歧义。

3. 针对旧版WebView的兜底：不设置SameSite属性 #

如果Zebra设备使用的是非常旧的Android WebView（Android 7及以下），可能对SameSite属性支持不好，可以尝试完全不设置SameSite属性，让WebView使用默认行为：

// CodeIgniter中可以设置为''或者注释掉该配置
$config['cookie_samesite'] = '';

不过这是兜底方案，优先推荐用SameSite=Lax。

四、常见误区避坑 #

1. 绝对不要用SameSite=None + 无Secure：这是无效配置，WebView会直接拒绝存储该Cookie。
2. 不要随意添加Secure属性：HTTP环境下添加Secure会导致所有Cookie被拒绝存储，这是最常见的错误。
3. 不要忽略Path属性：必须设为/，否则子路径请求可能带不上Cookie。

通过上述配置，你应该能彻底解决Zebra设备上AJAX登录后会话丢失的问题，同时完全兼容桌面浏览器的正常使用。