Сегодня браузеры стали черезчур умные и у них есть гигантское количество причин проигнорировать установку кукиса. Скорее всего (в случае браузеров на хромиуме (тоесть не в опере)) в инструментах разработчика в детализации запроса на вкладке HEADERS сразу за хедером респонса будет маленький желтый треугольник, наведя мышь на который вы сможете прочитать, в чём причина на этот раз.
Как то так например
Но в случае csrf, если у вас есть доступ к коду сервера, присоединюсь к рекомндации
Надим Закиров, что лучше класть в специальный хедер и обрабатывать его уже джаваскриптом на стороне клиета: за последний год у одного крупного клиента моей фирмы три раза умирали веб приложения для бизнес аналитики купленные за шестизначные суммы из-за обновления политики безопасности хрома, который просто начинал игнорировать кукисы, потому что кого-то так взломали.
они присылаються но не выставляються 
