Halaman ini diterjemahkan oleh Cloud Translation API.

Resep kue pihak pertama

Pelajari cara menetapkan cookie pihak pertama untuk memastikan keamanan, kompatibilitas lintas browser, dan meminimalkan peluang kerusakan setelah penggunaan cookie pihak ketiga dihentikan.

Milica Mihajlija

Cookie dapat berupa pihak pertama atau pihak ketiga relatif terhadap konteks pengguna; tergantung pada situs mana pengguna berada pada saat itu. Jika domain dan skema cookie cocok dengan halaman tingkat teratas saat ini, yaitu yang ditampilkan di kolom URL browser, cookie dianggap berasal dari situs yang sama dengan halaman dan umumnya disebut sebagai cookie pihak pertama.

Cookie dari domain selain situs saat ini biasanya disebut sebagai cookie pihak ketiga.

Resep kue kering pihak pertama yang enak

Jika cookie yang Anda tetapkan tidak digunakan di seluruh situs, misalnya, cookie digunakan untuk mengelola sesi di situs Anda dan tidak pernah digunakan di iframe lintas situs, sehingga cookie tersebut selalu digunakan dalam konteks pihak pertama.

Secara default, cookie dapat dibagikan di seluruh situs, diakses oleh JavaScript, dan dikirim melalui koneksi HTTP, yang memiliki beberapa risiko privasi dan keamanan. Meskipun ada upaya berkelanjutan untuk meningkatkan perilaku default, melalui Privacy Sandbox dan proposal lainnya seperti cookie yang terikat origin, ada banyak hal yang dapat Anda lakukan saat ini dengan menetapkan atribut tambahan pada cookie Anda.

Konfigurasi berikut adalah praktik terbaik untuk memastikan keamanan dan kompatibilitas lintas browser untuk sebagian besar cookie pihak pertama. Langkah ini akan memberi Anda landasan yang aman, yang dapat disesuaikan untuk membuka izin hanya jika diperlukan. Artikel ini juga membahas variasi resep untuk beberapa kasus penggunaan tertentu.

Resep

Set-Cookie:
__Host-cookie-name=cookie-value;
Secure;
Path=/;
HttpOnly;
Max-Age=7776000;
SameSite=Lax;

Detail

Host adalah awalan opsional yang mewajibkan beberapa atribut menjadi wajib dan melarang atribut lainnya:

Secure harus ada

Domain harus dihilangkan

Path harus /

Dengan menambahkan Host, Anda dapat mengandalkan browser untuk memeriksa apakah atribut ini ditetapkan sesuai dengan aturan __Host dan menolak cookie jika tidak.

Secure melindungi cookie agar tidak dicuri di jaringan yang tidak aman karena hanya mengizinkan pengiriman cookie melalui koneksi HTTPS. Jika Anda belum sepenuhnya memigrasikan situs ke HTTPS, jadikan hal tersebut sebagai prioritas.

Atribut Domain menentukan host yang dapat menerima cookie. Jika tidak disertakan, cookie akan dibatasi untuk host dokumen saat ini, kecuali subdomain: cookie untuk example.com akan dikirim pada setiap permintaan ke example.com, tetapi tidak atas permintaan ke images.example.com. Jika Anda memiliki aplikasi berbeda yang berjalan di subdomain berbeda, hal ini mengurangi risiko satu domain disusupi yang mengizinkan pintu ke subdomain lainnya.

Path menunjukkan jalur yang harus ada dalam URL yang diminta agar browser dapat mengirim header Cookie. Jika Path=/ ditetapkan, cookie akan dikirim ke semua jalur URL pada domain tersebut. Kombinasi tanpa Domain dan Path=/ membuat cookie terikat ke origin sedekat mungkin, sehingga berperilaku mirip dengan penyimpanan sisi klien lainnya seperti LocalStorage—tidak ada kebingungan bahwa example.com/a mungkin menerima nilai yang berbeda untuk example.com/b.

Atribut HttpOnly menambahkan perlindungan terhadap skrip pihak ketiga yang berbahaya di situs Anda dengan membatasi akses JavaScript. Opsi ini memungkinkan cookie dikirim hanya dalam header permintaan dan membuatnya tidak tersedia untuk JavaScript menggunakan document.cookie.

Catatan: Meskipun menggunakan HttpOnly, Anda tetap dapat memicu permintaan dari JavaScript, seperti permintaan HTTP XML, seperti pengambilan, atau permintaan HTTP XML⁠, dan jika Anda telah menentukan untuk menyertakan kredensial, cookie (termasuk cookie khusus HTTP) akan dikirim⁠ pada permintaan tersebut—opsi tersebut tidak terlihat oleh skrip sisi klien tersebut dengan cara apa pun. Jika salah satu skrip di situs Anda telah disusupi atau berbahaya, akses skrip tersebut ke data cookie yang berpotensi sensitif akan dibatasi.

Max-Age membatasi masa pakai cookie karena sesi browser dapat bertahan cukup lama dan Anda tidak ingin cookie usang terus menerus. Ini cocok untuk cookie jangka pendek, seperti sesi pengguna atau bahkan sesi yang lebih singkat seperti token untuk pengiriman formulir. Max-Age ditentukan dalam detik dan dalam contoh sebelumnya disetel ke 7776000 detik, yaitu 90 hari. Ini adalah default yang wajar, yang dapat Anda ubah bergantung pada kasus penggunaan Anda.

Catatan: Nilai maksimum Max-Age tidak boleh lebih besar dari 400 hari (34560000 detik). Cara lain untuk membatasi masa pakai cookie adalah dengan menentukan atribut Expires yang menetapkan tanggal habis masa berlaku di masa mendatang, bukan durasi habis masa berlaku. Perhatikan bahwa tanggal dan waktu yang ditetapkan di atribut Expires berhubungan dengan klien tempat cookie ditetapkan, bukan server.

SameSite=Lax membatasi cookie hanya untuk dikirim pada permintaan situs yang sama. Artinya, permintaan cocok dengan konteks penjelajahan saat ini–situs tingkat atas yang saat ini dikunjungi pengguna yang ditampilkan di panel lokasi mereka. SameSite=Lax adalah setelan default di browser modern, tetapi sebaiknya tentukan untuk kompatibilitas di seluruh browser yang mungkin memiliki setelan default yang berbeda. Dengan menandai cookie secara eksplisit sebagai khusus situs yang sama, Anda membatasinya untuk konteks pihak pertama, dan Anda tidak perlu melakukan perubahan pada cookie tersebut saat cookie pihak ketiga menghilang.

Untuk mempelajari berbagai atribut cookie lebih lanjut, lihat dokumentasi Set-Cookie di MDN.

Resep cookie pihak pertama untuk situs dengan subdomain

Jika Anda memiliki situs dengan subdomain dan ingin memiliki satu sesi di semua subdomain, awalan Host mungkin terlalu membatasi. Misalnya, news.site dapat memiliki subdomain untuk topik seperti finance.news.site dan sport.news.site, dan Anda menginginkan satu sesi pengguna di semua subdomain. Dalam hal ini, gunakan awalan __Secure, bukan __Host, dan tentukan Domain.

Resep

Set-Cookie:
__Secure-cookie-name=cookie-value;
Secure;
Domain=news.site;
Path=/;
HttpOnly;
Max-Age=7776000;
SameSite=Lax;

Detail

Secure adalah awalan opsional yang menyatakan lebih sedikit persyaratan daripada Host: hanya mengharuskan cookie ditetapkan dengan atribut Secure.

Catatan: Atribut Secure membatasi cookie untuk dikirim hanya melalui protokol HTTPS. Awalan __Secure memberi tahu browser untuk memeriksa apakah cookie ditetapkan dengan atribut Secure dan menolaknya jika belum ditetapkan. Hal ini memastikan bahwa penyerang tidak dapat menimpa cookie aman dengan cookie lain yang tidak memiliki atribut Secure.

Membatasi akses cookie pihak pertama pada permintaan yang dimulai dari situs pihak ketiga

Meskipun cookie SameSite=Lax tidak dikirim pada subpermintaan lintas situs (misalnya, saat memuat gambar atau iframe tersemat di situs pihak ketiga), cookie tersebut dikirim saat pengguna membuka situs asal (misalnya, saat mengikuti link dari situs lain).

Anda dapat lebih lanjut membatasi akses cookie dan tidak mengizinkan pengiriman cookie beserta permintaan yang dimulai dari situs pihak ketiga dengan SameSite=Strict. Ini berguna saat Anda memiliki cookie yang berkaitan dengan fungsi yang akan selalu berada di belakang navigasi awal, seperti mengubah sandi atau melakukan pembelian.

Resep

Set-Cookie:
__Host-cookie-name=cookie-value;
Secure;
Path=/;
HttpOnly;
Max-Age=7776000;
SameSite=Strict;