在 go 中删除 http cookie 需显式设置同名、同路径、同域的 cookie，将其 maxage 设为 -1 并指定过期时间（兼容旧版 ie），**不能复用 `r.cookie()` 返回的原始 cookie 实例**。

要真正从客户端浏览器中移除一个 Cookie，本质是向浏览器发送一条“覆盖指令”：用一个同名、同路径（Path）、同域名（Domain）、且已过期的 Cookie 替换原有 Cookie。浏览器收到后会立即丢弃它。

关键点在于：*不能直接修改 r.Cookie("login") 返回的 `http.Cookie并重设**——因为该实例包含服务端接收到的原始值（如Value、Path、Domain等可能不完整或不匹配），尤其Path和Domain` 若缺失或错误，会导致新 Cookie 无法匹配原 Cookie 而无法覆盖。

✅ 正确做法是全新构造一个 http.Cookie 实例，并确保以下字段与原始 Cookie 严格一致：

• Name：必须完全相同（如 "login"）；
• Path：必须与设置时使用的 Path 一致（常见为 /，但若当初设为 /auth，此处也必须为 /auth）；
• Domain：若原 Cookie 指定了 Domain（如 .example.com），此处也需显式指定；
• MaxAge：设为 -1，表示立即过期；
• Expires：设为过去的时间（如 time.Now().Add(-100 * time.Hour)），这是对老旧浏览器（尤其是旧版 IE）的必要兼容措施；
• Value：可为空字符串，但非必需；浏览器只认 MaxAge 和 Expires 是否过期。

示例代码如下：

func deleteLoginCookie(w http.ResponseWriter, r *http.Request) {
    // 假设原始 cookie 是通过 Path="/" 设置的
    pathUsedToSetCookie := "/"

    cookie := &http.Cookie{
        Name:     "login",
        Value:    "",
        Path:     pathUsedToSetCookie,
        MaxAge:   -1,
        Expires:  time.Now().Add(-100 * time.Hour),
        HttpOnly: true, // 若原 cookie 含 HttpOnly，建议保持一致（非强制但推荐）
        Secure:   r.TLS != nil, // 若仅在 HTTPS 下设置，此处也应设 Secure=true
    }
    http.SetCookie(w, cookie)
}

⚠️ 注意事项：

• Path 是最易被忽略的关键字段：Go 默认 SetCookie 的 Path 是请求路径（如 /user/logout），而非根路径 /。务必确认原始 Cookie 的 Path，并在删除时完全复现；
• 不要依赖 r.Cookie("login") 的 Path 字段——它可能为空或不准确（浏览器只发送 Name=Value，Path/Domain 等元数据不会回传）；
• 若 Cookie 是跨子域共享的（如 Domain=".example.com"），删除时 Domain 必须完全一致；
• HttpOnly 和 Secure 标志无需匹配才能删除，但保持一致更利于调试和安全一致性；
• 删除操作本身无返回值，可通过浏览器开发者工具 → Application → Cookies 验证是否已清除。

总结：删除 Cookie 不是“删除动作”，而是“覆盖为已过期状态”。核心原则是——同名、同路径、同域、过期时间置为过去。只要这四点精准匹配，浏览器便会可靠移除对应 Cookie。