WebView 中 Cookie 丢失怎么办？跨域状态不同步的调试与修复经验

现代 App 内的 WebView 页面常涉及多个业务域名：主域名提供用户登录、其他二级域名承载活动或内容页。理想情况下 Cookie 能跨子域共享用户状态，但在 WebView 中却经常遇到 Cookie 丢失、登录态失效、或者主域和子域状态不同步的问题。

这些问题在浏览器中难以复现，却在部分移动端 WebView 环境中频发，成为线上最难定位的"偶发 bug"之一。

背景：部分用户反馈活动页被频繁登出

某次活动页部署在 m.example.com，而用户登录态保存在 example.com 下。大部分用户在 WebView 中访问活动页可自动携带登录 Cookie，但部分用户频繁被提示"请先登录"，且再次登录后仍会短时间内失效。

后端确认登录接口已成功签发有效 Cookie，但活动域名的请求中未携带登录信息。

使用 WebDebugX 在问题设备上连接活动页面，执行：

js 复制代码

console.log("document.cookie:", document.cookie);

发现活动页里没有名为 auth_token 的 Cookie，而主站页面里能正常打印出 auth_token。

后端在登录接口中设置 Cookie：

sql 复制代码

Set-Cookie: auth_token=xxx; Domain=example.com; Path=/; Secure; HttpOnly

按理说，example.com 下设置的 Cookie 应在所有 *.example.com 子域名有效。然而部分 Android 低版本 WebView（如 5.0-6.0）对跨域 Cookie 兼容性差，无法自动同步 Cookie。

协助移动端同事查看 App WebView 初始化代码，发现部分老版本 App 并未显式开启 Cookie 同步功能，未在 WebView 初始化时执行以下逻辑：

java 复制代码

CookieManager.getInstance().setAcceptCookie(true);
CookieManager.getInstance().setAcceptThirdPartyCookies(webView, true);

这导致即便登录接口下发了跨域 Cookie，WebView 仍不会存储或携带到子域名页面。

为确认修复方向，我们在 WebDebugX 中手动设置 Cookie：

js 复制代码

document.cookie = "auth_token=xxx; domain=.example.com; path=/";

刷新页面后请求活动域接口，再次观察 Charles 抓包，确认请求头中已包含 auth_token，后端不再返回未登录错误，问题被还原并定位。

针对 Cookie 丢失问题，我们采用双向修复：

短期解决：App 端热修复 移动端在 WebView 初始化中补充 Cookie 设置，使 WebView 能跨域保存和使用 Cookie。

长期方案：统一 Token 传参 将 auth_token 在登录后写入 HTML 页面，通过 JSBridge 传递到 WebView，再存储到 Web localStorage，并在每次请求时通过 header 或参数带上 Token，避免 Cookie 依赖。

QA 使用 Vysor 模拟以下情况进行验证：

此次问题排查，我们使用的工具与分工如下：

浏览器对 Cookie 的跨域行为有相对统一的实现，但 WebView 在不同 Android/iOS 版本、不同厂商实现中有明显差异。调试此类问题要：

在真机上验证 Cookie 写入与读取；检查 WebView 是否显式开启跨域 Cookie 支持；结合后端返回的 Set-Cookie 域设置；考虑兼容性时，准备无 Cookie 依赖的 Token 方案。

调试工具（WebDebugX、Charles、Vysor）能帮助我们在设备中观察 Cookie 行为，从而精准验证跨域状态同步。