Cookie Security Stack untuk Website Bisnis Indonesia: Cara Pasang SameSite, HttpOnly, dan Secure agar Sesi Pengguna Tidak Mudah Dibajak di 2026

TL;DR: Cookie security stack adalah kombinasi tiga atribut wajib pada cookie sesi: SameSite, HttpOnly, dan Secure. Pengaturan yang tepat menutup mayoritas vektor pencurian sesi seperti CSRF, XSS-based session theft, dan kebocoran cookie di jaringan publik. Audit 30 menit pada header Set-Cookie di website bisnis Anda biasanya menemukan minimal satu cookie sesi yang masih lemah.

Saat membantu audit kecepatan dan keamanan website klien selama dua tahun terakhir, ada satu pola yang konsisten muncul: cookie sesi tidak punya atribut keamanan dasar. Aplikasi mungkin sudah pakai HTTPS, sudah pasang HSTS, bahkan sudah ada [CSP](/glosarium/csp-content-security-policy). Tapi cookie yang membawa session token, yang merupakan kunci ke seluruh akun pengguna, dibiarkan polos tanpa flag pelindung.

Untuk website bisnis Indonesia yang melayani pengguna lewat WiFi publik, kafe, atau jaringan kantor bersama, ini adalah celah yang murah ditutup tapi mahal kalau dieksploitasi. Artikel ini menjelaskan tiga atribut cookie security stack dan urutan pemasangannya supaya tidak ada satu sesi user pun yang berstatus lemah.

Tiga Atribut yang Membentuk Cookie Security Stack

Setiap cookie sesi modern wajib punya tiga flag berikut. Bayangkan sebagai tiga lapisan kunci pintu, masing-masing menahan vektor serangan berbeda.

Pelajari masing-masing atribut secara detail di glosarium SameSite dan HttpOnly.

Konfigurasi Minimum yang Aman per Use Case

Format header Set-Cookie yang ideal berbeda tergantung jenis cookie. Tabel ini ringkasan dari pengalaman menangani Atmo (LMS), Vetmo (pet care), dan beberapa proyek e-commerce klien Vito Atmo.

Bold satu prinsip: cookie sesi tanpa HttpOnly adalah hutang teknis berisiko, bukan pilihan desain.

Studi Kasus: Audit Website Bisnis dengan Sesi Lama

Saat membantu audit website salah satu klien e-commerce parfum (Nalesha) di awal 2025, kami menemukan dua cookie sesi yang masih dipakai library auth lawas tanpa HttpOnly. Setelah audit, kami pindahkan ke implementasi auth yang langsung mengeluarkan header Set-Cookie lengkap dengan tiga atribut. Pekerjaan teknis hanya 2 jam, tetapi menutup celah yang seharusnya sudah ditutup sejak hari pertama deployment.

Pada proyek Atmo, kami sengaja set cookie sesi admin ke SameSite=Strict supaya navigasi dari email atau Slack tidak otomatis membawa konteks login. Ini menambah satu klik untuk admin tetapi mengeliminasi seluruh kategori serangan CSRF yang sebelumnya jadi concern.

Cara Audit Cookie Anda dalam 10 Menit

Buka DevTools tab Network di Chrome, klik request pertama, lihat response header Set-Cookie. Pastikan setiap cookie sesi memiliki ketiga atribut. Untuk audit yang lebih sistematis, Mozilla Observatory memberi grade keamanan website lengkap dengan deteksi cookie lemah, sementara dokumentasi Set-Cookie di MDN menjadi referensi standar untuk format yang benar.

Jika hosting di Vercel atau Netlify, tambahkan header pada konfigurasi project. Untuk Next.js dengan App Router, gunakan cookies() dari next/headers lalu set opsi httpOnly, secure, dan sameSite saat menulis cookie.

Pertanyaan Umum

Apakah Secure berlaku otomatis kalau website saya sudah HTTPS?

Tidak. Secure adalah flag eksplisit pada cookie. Tanpa flag ini, cookie tetap bisa terkirim via HTTP saat ada serangan downgrade.

Bisakah saya pakai SameSite=Strict untuk semua cookie?

Tidak ideal. Strict memutus konteks login saat user buka link dari email atau social media, sehingga UX terganggu. Pakai Lax sebagai default dan Strict hanya untuk cookie admin.

Apakah HttpOnly bikin login lewat JavaScript SPA jadi sulit?

Tidak. SPA tetap bisa login lewat fetch yang membaca cookie HttpOnly secara otomatis di header request. Yang dibatasi hanya akses langsung via document.cookie.

Berapa lama umur cookie sesi yang aman?

Untuk dashboard sensitif: 1-4 jam. Untuk situs publik dengan remember-me: 7-30 hari dengan refresh token. Hindari cookie sesi tanpa expiry.

Apakah saya tetap butuh CSRF token kalau sudah pakai SameSite?

Untuk endpoint sangat sensitif (transaksi finansial, ubah password), tetap pasang CSRF token sebagai lapisan kedua.

Penutup: Cookie Adalah Kunci, Perlakukan Seperti Kunci

Cookie sesi adalah satu-satunya hal yang membedakan user terotorisasi dengan attacker yang menebak URL. Tiga atribut Secure, HttpOnly, dan SameSite adalah pekerjaan satu sore yang melindungi pengguna selama bertahun-tahun. Audit hari ini, jangan tunggu insiden.