Ответ - запятая , знак.
В разделе 4.2.2 RFC 2109 есть эта спецификация Set-Cookie header
set-cookie = "Set-Cookie:" cookies
cookies = 1#cookie
со следующим утверждением Неформально заголовок ответа Set-Cookie содержит токен Set-Cookie:, за которым следует разделенный запятыми список из одного или нескольких файлов cookie. (Формально значение # в вышеуказанные обозначения определены в RFC 733 в разделе A. НОТАЦИОННЫЕ КОНВЕНЦИИ , пункт 5
Определена конструкция "#", аналогичная "*", следующим образом:
<l>#<m>element
с указанием не менее <l> и не более <m> элементов, каждый из которых разделен
одна или несколько запятых (",").
Да, RFC 2109 был отменен RFC 2965, который, в свою очередь, был заменен RFC 6265 .
Нет, это ничего не меняет в этом контексте как
- большинство существующих HTTP-серверов и клиентов поддерживают RFC 2109
- RFC 6265 не запрещать
Set-Cookie складывать