hi,

Nehmen wir an das httponly oder die fehlende Domain bringen den HTTPClient durcheinander;

Das "httponly" gehört nicht in einen Response-Header. Domain ist ein Parameter (Flag), wenn nicht gesetzt, sendet der UA (Client) den Cookie nur an die Origin-Domain.

Welche Möglichkeiten gibt es, den Cookie "abzufangen" zu modifizieren und erst dann zu setzen?

Cookies, die ein UA sendet, finden sich serverseitig in der Umgebungsvariable "HTTP_COOKIE". Da können auch mehrere stehen, getrennt mit "; "

z.B: name=value; nochnname=nochnvalue

Ein UA sendet die Cookies als Request-Header:
Cookie: name=value; nochnname=nochnvalue

Hotti