SameSite Cookie (Atribut Privasi Cookie)

TL;DR: SameSite adalah atribut cookie yang mengatur apakah browser mengirim cookie saat permintaan datang dari situs lain. Nilai Strict paling ketat, Lax adalah default modern, dan None butuh Secure. Atribut ini adalah pertahanan inti melawan CSRF dan kebocoran sesi yang sering dilewatkan saat tim membangun website bisnis dan dashboard internal.

Apa itu SameSite Cookie?

SameSite adalah atribut yang ditambahkan pada header Set-Cookie saat server mengeluarkan cookie. Atribut ini memberitahu browser kapan cookie boleh dilampirkan pada permintaan keluar. Sejak Chrome 80 (2020), nilai default berubah dari None menjadi Lax, sehingga banyak integrasi lintas-domain (misalnya OAuth atau payment gateway) terpaksa menyesuaikan. Atribut ini melengkapi HSTS dan [CSP](/glosarium/csp-content-security-policy) sebagai bagian dari basic security stack.

Tiga Nilai SameSite

Kenapa Penting?

Pengaturan SameSite yang salah punya dua dampak nyata di proyek bisnis Indonesia: pertama, sesi user pecah saat redirect dari payment gateway karena cookie session pakai Lax tanpa konfigurasi callback yang benar. Kedua, dashboard internal tetap rentan CSRF kalau cookie sesi dibiarkan default tanpa Strict. Dari pengalaman menangani Atmo dan beberapa proyek e-commerce, mengaudit atribut SameSite adalah pekerjaan 30 menit yang menyelamatkan baik konversi maupun keamanan.

Pertanyaan Umum

Kapan harus pakai SameSite=None?

Hanya saat cookie memang harus dikirim lintas situs, misalnya widget login SSO yang tertanam di domain mitra. Wajib disertai Secure dan idealnya HttpOnly.

Apakah SameSite mencegah semua CSRF?

Tidak. SameSite adalah lapisan kuat tapi tetap perlu CSRF token untuk endpoint sensitif, terutama yang menerima POST dari form.