httponly 开启会导致js无法读取

secure 如果你混用https和http开启后有坑

domain 没啥说的，就有有继承关系，一不小心cookie就有两份啊

path 一般用 / 就好了 不要用空。