看起来你已经搞定了基础的CORS配置和GET请求的凭证传递，但POST/PUT遇到了问题，我来帮你排查几个关键的点：

1. 确认Angular请求的withCredentials配置 #

别只在GET请求里加了{ withCredentials: true }，POST/PUT请求也要明确带上这个配置，很多时候都是复制代码时漏写了：

// POST请求示例
this.httpClient.post<Test>('your-post-api-url', postData, { withCredentials: true })

// PUT请求示例
this.httpClient.put<Test>('your-put-api-url', putData, { withCredentials: true })

2. 处理服务器端的OPTIONS预检请求 #

POST/PUT属于非简单请求，会先触发OPTIONS预检请求，这个请求是不带凭证的，必须确保服务器能正确响应：

• 检查web.config里是否配置了Access-Control-Allow-Headers，要包含请求里用到的所有头（比如Content-Type是POST/PUT常用的）：

<add name="Access-Control-Allow-Headers" value="Content-Type, Authorization, X-Requested-With" />

• 确保服务器不会对OPTIONS请求做权限校验（比如Cookie认证拦截），要允许OPTIONS请求匿名访问。

3. 检查认证Cookie的SameSite属性 #

如果Cookie的SameSite设为Strict或Lax，跨域的POST/PUT请求可能不会携带它。可以在服务器设置Cookie时调整：

// 服务器端设置Cookie的示例代码
var authCookie = new HttpCookie("YourAuthCookie", "cookie-value")
{
    HttpOnly = true,
    Secure = false, // 本地HTTP环境暂时设为false，生产环境必须改为true
    SameSite = SameSiteMode.None,
    Domain = "localhost" // 确保和客户端、服务器域名匹配
};
Response.Cookies.Add(authCookie);

注意：部分浏览器在HTTP环境下会拒绝SameSite=None的Cookie，测试时可以临时改用SameSiteMode.Lax，或者切换到HTTPS环境。

4. 验证服务器CORS配置的覆盖范围 #

如果用的是IIS的CORS模块，确保配置覆盖了POST/PUT请求的路径和方法：

<cors enabled="true">
    <add origin="http://localhost:4200" allowCredentials="true">
        <allowHeaders header="*" />
        <allowMethods method="GET" />
        <allowMethods method="POST" />
        <allowMethods method="PUT" />
    </add>
</cors>

如果是ASP.NET MVC/Web API项目，还要确认全局或控制器级别的CORS配置是否启用了凭证支持和对应HTTP方法。

5. 浏览器控制台排查细节 #

打开F12开发者工具的Network标签，查看POST/PUT请求的细节：

• 请求头里是否包含Cookie字段
• 响应头是否正确返回Access-Control-Allow-Credentials: true和Access-Control-Allow-Origin: http://localhost:4200
• 预检OPTIONS请求的状态码是否为200/204（如果失败，重点排查服务器对OPTIONS的处理）

按这几个步骤排查下来，应该能解决POST/PUT请求的WithCredentials失效问题。

内容的提问来源于stack exchange，提问作者MGDavies