我也遇到了类似的问题，发现问题来自我正在使用的JS客户端。我通过在连接配置中添加withCredentials: true解决了这个问题。
这是它的样子

import io from "socket.io-client";

const connectionObject  = {
  ...,
  withCredentials: true,
};
socket = io("http://127.0.0.1:5000" || "", connectionObject);

这将Cookie添加到对我的套接字服务器的调用中。

你有两个选择
1.不要使用cookie进行身份验证。使用基于方法的标记。一旦客户端连接到应用程序，只需发送身份验证令牌。你可以用localstorage保存令牌，第一次，令牌可以由你的服务器嵌入JavaScript或HTML中。
如果您想知道为什么不应该使用令牌，请阅读sockjs-node文档，该文档实现了类似于www.example.com的内容socket.io
Cookies是浏览器和http服务器之间的协议，通过域名进行识别。如果浏览器为特定域设置了cookie，它会将其作为所有http请求的一部分传递给主机。但是为了让各种传输正常工作，SockJS使用了一个中间人
从目标SockJS域托管的iframe。这意味着服务器将接收来自iframe的请求，而不是来自真实的域的请求。iframe的域与SockJS域相同。问题是任何网站都可以嵌入iframe并与之通信-并请求建立SockJS连接。在这种情况下使用Cookie进行授权将导致从任何网站授予SockJS与您网站的完全访问权限。这是典型的CSRF攻击。基本上-cookie不适合SockJS模型。如果你想授权一个会话-在页面上提供一个唯一的令牌，首先通过SockJS连接发送它，并在服务器端验证它。从本质上讲，这就是Cookie的工作方式。
同时检查this article as an example的实现。
如果你仍然不相信，那么检查选项2：
1.继续使用cookies。但这可能行不通。升级到最新的socket.io（0.9.x或1.x）。使用0.9.x设置origin config属性。或在1.x上设置origins服务器选项。您可以将它们设置为*:*或*example.com:*。
也检查这个问题：CORS with socket.io