SameSite

SameSite là gì?

SameSite là một thuộc tính trong cookie, được thiết kế để giới hạn việc cookie được gửi trong các yêu cầu cross-site (từ website khác). Mục tiêu là ngăn chặn các cuộc tấn công kiểu CSRF – nơi hacker lén thực hiện hành động thay mặt người dùng.

SameSite giúp bạn kiểm soát chính xác khi nào trình duyệt nên gửi cookie kèm theo request – đặc biệt là khi yêu cầu đó đến từ một website khác.

Vì sao cần SameSite?

• Trước đây, cookie luôn được gửi mọi lúc → tạo nguy cơ bảo mật cao
• SameSite giúp browser “thận trọng” hơn → giảm khả năng bị lợi dụng
• Hiện nay, các trình duyệt hiện đại (Chrome, Firefox, Edge…) đều đã áp dụng SameSite mặc định

Các chế độ SameSite

Ví dụ thiết lập cookie với SameSite

Set-Cookie: session_id=abc123; Path=/; HttpOnly; Secure; SameSite=Lax

Khi nào nên dùng chế độ nào?

• SameSite=Strict: Trang cực kỳ bảo mật (ví dụ: ngân hàng, admin)
• SameSite=Lax: Trang login, giỏ hàng → cân bằng UX và bảo mật
• SameSite=None; Secure: Khi bạn dùng cookie để xác thực qua các subdomain hoặc iframe → bắt buộc HTTPS

Cảnh báo: SameSite ảnh hưởng đến hệ thống nếu dùng sai

• Cookie login có thể bị “mất hiệu lực” nếu bạn redirect từ domain khác
• Cookie bị chặn → người dùng không thể duy trì đăng nhập
• Iframe, chatbot, livechat từ domain khác có thể không hoạt động nếu cookie không được gửi

Kiểm tra SameSite của cookie

• Dùng DevTools → tab “Application” → mục “Cookies”
• Xem cột “SameSite” để biết chế độ hiện tại
• Có thể dùng extension như “EditThisCookie” để kiểm tra kỹ hơn

Kết luận

SameSite là một lớp bảo mật thiết yếu trong cookie – giúp website của bạn an toàn hơn trước các cuộc tấn công từ bên ngoài. Biết cách cấu hình SameSite đúng sẽ giúp bạn giữ trạng thái người dùng ổn định, tránh lỗi login không rõ lý do, và đặc biệt là bảo vệ khỏi các hành vi tấn công nguy hiểm kiểu CSRF.