Memahami cookie pihak ketiga
Cookie yang dikirim dalam konteks lintas situs, seperti iframe atau permintaan subresource, secara umum disebut sebagai cookie pihak ketiga.
Kasus penggunaan cookie pihak ketiga mencakup:
- Konten tersemat yang dibagikan dari situs lain, seperti video, peta, contoh kode, dan postingan media sosial.
- Widget untuk layanan eksternal, seperti pembayaran, kalender, pemesanan, dan reservasi.
- Widget seperti tombol sosial atau layanan antipenipuan.
- Resource
<img>
atau<script>
jarak jauh yang mengandalkan cookie untuk dikirim dengan permintaan (biasa digunakan untuk piksel pelacakan dan mempersonalisasi konten).
Pada tahun 2019, browser mengubah perilaku cookie,
membatasi cookie ke akses pihak pertama secara default.
Setiap cookie yang digunakan dalam konteks lintas situs saat ini harus ditetapkan dengan atribut SameSite=None
.
Set-Cookie: cookie-name=value; SameSite=None; Secure
Mengaudit penggunaan cookie pihak ketiga
Cookie yang ditandai untuk penggunaan pihak ketiga dapat diidentifikasi dari nilai SameSite=None
-nya. Anda harus menelusuri kode untuk mencari instance tempat Anda menetapkan atribut SameSite
ke nilai ini. Jika sebelumnya Anda membuat perubahan untuk menambahkan SameSite=None
ke cookie Anda sekitar tahun 2020, perubahan tersebut dapat memberikan titik awal yang baik.
Jika Anda menemukan cookie yang ditandai sebagai SameSite=None
yang tampaknya tidak digunakan dalam konteks lintas situs, periksa apakah hal tersebut disengaja, karena dapat digunakan dalam konteks lintas situs di tempat lain. Jika tidak, SameSite=None
mungkin telah ditetapkan secara tidak sengaja dan Anda harus menghapus penggunaan SameSite=None
yang tidak diperlukan.
Cookie partisi—yang ditetapkan dengan atribut Partitioned
—akan terus dikirim setelah cookie pihak ketiga tidak digunakan lagi di browser yang mendukung atribut ini.
Chrome DevTools
Panel Jaringan Chrome DevTools menampilkan cookie yang ditetapkan dan dikirim pada permintaan. Di panel Application, Anda dapat melihat judul Cookies di bagian Storage. Anda dapat menjelajahi cookie yang disimpan untuk setiap situs yang diakses sebagai bagian dari pemuatan halaman. Anda dapat mengurutkan menurut kolom SameSite
untuk mengelompokkan semua cookie None
.
Mulai Chrome 118, tab Masalah DevTools menampilkan masalah perubahan yang dapat menyebabkan gangguan, "Cookie yang dikirim dalam konteks lintas situs akan diblokir di versi Chrome mendatang". Masalah ini mencantumkan cookie yang berpotensi terpengaruh untuk halaman saat ini.
Alat Analisis Privacy Sandbox (PSAT)
Kami juga telah membangun Privacy Sandbox Analysis Tool (PSAT), yaitu ekstensi DevTools untuk memfasilitasi analisis penggunaan cookie selama sesi penjelajahan. Hal ini memberikan jalur proses debug untuk fitur cookie dan Privacy Sandbox, dengan titik akses untuk mempelajari inisiatif Privacy Sandbox lebih lanjut.
Ekstensi ini melengkapi DevTools dengan kemampuan khusus untuk menganalisis dan men-debug skenario yang terkait dengan penghentian cookie pihak ketiga dan penerapan alternatif yang menjaga privasi baru.
Anda dapat mendownload ekstensi ini dari Chrome Web Store atau mengakses repositori dan wiki PSAT.
Hubungi penyedia layanan pihak ketiga
Jika Anda mengidentifikasi cookie yang ditetapkan oleh pihak ketiga, Anda harus menghubungi penyedia tersebut untuk mengetahui apakah mereka berencana menghentikan penggunaan cookie pihak ketiga. Misalnya, Anda mungkin perlu mengupgrade versi library yang sedang digunakan, mengubah opsi konfigurasi di layanan, atau tidak melakukan tindakan apa pun jika pihak ketiga menangani sendiri perubahan yang diperlukan.
Tingkatkan kualitas cookie pihak pertama Anda
Jika cookie tidak pernah digunakan di situs pihak ketiga, misalnya jika Anda menetapkan cookie untuk mengelola sesi di situs Anda dan cookie tersebut tidak pernah digunakan di iframe lintas situs, maka Anda harus menandai cookie secara eksplisit sebagai SameSite=Lax
atau SameSite=Strict
. Ada sejumlah default masuk akal lainnya yang dapat digunakan untuk cookie pihak pertama. Untuk mengetahui detail selengkapnya, lihat Resep untuk kue pihak pertama.