Digital Transformation
Cookies SameSite (Strict, Lax, None)
TL;DR: Atribut SameSite menentukan kapan browser mengirim cookie pada request lintas situs. Nilai Strict melarang semua cross-site, Lax mengizinkan top-level navigation GET (default sejak Chrome 80), dan None mengizinkan semua tapi wajib bersamaan dengan flag Secure (HTTPS). Salah setting bisa membuat session login putus atau tracking pixel berhenti bekerja.
Apa itu SameSite?
SameSite adalah atribut cookie yang diperkenalkan IETF (RFC 6265bis) untuk mencegah serangan CSRF dan membatasi cross-site tracking. Browser modern (Chrome, Edge, Firefox, Safari) memperlakukan cookie tanpa atribut SameSite sebagai SameSite=Lax secara default. Ini penting untuk dipahami karena cookie first-party data untuk session login dan analytics tetap aman, sementara cookie third-party cookies yang dipakai retargeting jadi terbatas.
Aturan praktisnya: cookie untuk autentikasi pakai Lax, cookie untuk pembayaran sensitif pakai Strict, cookie iframe pihak ketiga (Meta Pixel di iframe, embed YouTube) pakai None+Secure. Salah satu kesalahan paling sering ditemui di proyek client adalah lupa tambah Secure saat set SameSite=None, sehingga cookie langsung ditolak browser.
Perbandingan Nilai SameSite
| Nilai | Cross-site GET | Cross-site POST | Iframe | Use case |
|---|---|---|---|---|
| Strict | Tidak | Tidak | Tidak | Banking, halaman checkout |
| Lax (default) | Ya (top-level nav) | Tidak | Tidak | Session login normal |
| None + Secure | Ya | Ya | Ya | Pixel tracking, iframe widget |
Kenapa Penting?
Banyak marketer Indonesia mengeluh tracking conversion drop tanpa sebab. Penyebabnya kerap karena pixel pihak ketiga di iframe tidak punya SameSite=None; Secure, sehingga browser tidak mengirim cookie identifier. Akibatnya Event Match Quality di Meta turun, Enhanced Conversions Google Ads kehilangan klik attribution, dan ROAS terlihat lebih rendah dari semestinya. Audit cepat: cek tab Application di DevTools, filter cookie dengan flag SameSite=None tapi tanpa Secure.
Pertanyaan Umum
Kenapa cookie hilang setelah ganti dari HTTP ke HTTPS?
Saat domain pindah ke HTTPS, cookie lama mungkin masih bertanda SameSite=None tanpa Secure. Browser akan abaikan. Solusi: set ulang cookie dengan kedua flag aktif setelah migrasi.
Apa hubungannya dengan CHIPS?
CHIPS (Cookies Having Independent Partitioned State) adalah lapis baru di atas SameSite untuk skenario embed pihak ketiga di era cookieless. Cookie partitioned masih perlu SameSite=None; Secure, plus atribut Partitioned.
Istilah Terkait