<p><strong>只要 Cookie 存在且满足条件，浏览器会自动附加，客户端代码不需要（也无法阻止）。</strong></p>
<hr>
<h3>自动携带的条件</h3>
<p>并不是"所有 Cookie 无条件发送"，浏览器会按以下规则过滤：</p>
<table>
<thead>
<tr>
<th>条件</th>
<th>说明</th>
</tr>
</thead>
<tbody>
<tr>
<td><strong>域名匹配</strong></td>
<td><code>domain=example.com</code> 的 Cookie 只发给 <code>example.com</code></td>
</tr>
<tr>
<td><strong>路径匹配</strong></td>
<td><code>path=/api</code> 的 Cookie 只在请求 <code>/api/*</code> 时携带</td>
</tr>
<tr>
<td><strong>Secure</strong></td>
<td>设了 <code>secure</code> 的只在 HTTPS 请求中携带</td>
</tr>
<tr>
<td><strong>SameSite</strong></td>
<td>跨站请求时是否携带（见下方）</td>
</tr>
<tr>
<td><strong>未过期</strong></td>
<td>过期的 Cookie 不会发送</td>
</tr>
</tbody>
</table>
<hr>
<h3>SameSite 是唯一能"阻止自动携带"的属性</h3>
<pre><code class="code-highlight"><span class="code-line">SameSite=Strict  → 只有同站请求才携带（从其他网站跳过来的首次请求也不带）
</span><span class="code-line">SameSite=Lax     → 同站 + 顶级导航（点链接跳转）携带，第三方资源请求不带
</span><span class="code-line">SameSite=None    → 跨站也携带（必须同时设 Secure）
</span></code></pre>
<p>这也是为什么 <code>SameSite=Strict</code> 能防 CSRF：攻击者网站触发的请求，Cookie 不会被携带，服务端就拿不到 Token。</p>
<hr>
<h3>所以你的理解完全正确</h3>
<pre><code class="code-highlight"><span class="code-line">客户端代码（JS）：无法控制是否携带 Cookie（HttpOnly 的甚至读不到）
</span><span class="code-line">浏览器：根据规则自动决定是否携带
</span><span class="code-line">服务端：只要浏览器带来了，就能读到
</span></code></pre>
<p>这个"自动"机制是 Cookie 的核心设计——也是它既强大（SSR 天然拿到认证状态）又需要小心（CSRF 攻击利用的正是这一点）的原因。</p>

条件	说明
域名匹配	`domain=example.com` 的 Cookie 只发给 `example.com`
路径匹配	`path=/api` 的 Cookie 只在请求 `/api/*` 时携带
Secure	设了 `secure` 的只在 HTTPS 请求中携带
SameSite	跨站请求时是否携带（见下方）
未过期	过期的 Cookie 不会发送

Yasin

cookies自动携带的条件

自动携带的条件

SameSite 是唯一能"阻止自动携带"的属性

所以你的理解完全正确