Technical SEO

SameSite Cookie Attribute

Thuộc tính cookie kiểm soát việc gửi cookie trong các yêu cầu cross-site nhằm tăng bảo mật chống CSRF.

3 lượt xem Cập nhật: 26/05/2026

SameSite Cookie Attribute là gì?

SameSite là một thuộc tính cookie được thêm vào header HTTP khi máy chủ gửi cookie về trình duyệt. Thuộc tính này cho phép kiểm soát xem cookie có được gửi đi trong các yêu cầu cross-site (tức là từ trang web khác) hay không — ví dụ khi người dùng nhấp vào liên kết từ email, mạng xã hội hoặc quảng cáo dẫn đến trang của bạn.

Giá trị của SameSite gồm ba lựa chọn chính: Lax, StrictNone. Từ phiên bản Chrome 80 (phát hành tháng 2/2020), trình duyệt áp dụng SameSite=Lax làm giá trị mặc định nếu thuộc tính này bị bỏ trống hoặc không được khai báo rõ ràng.

Tại sao quan trọng trong SEO?

SameSite không phải là yếu tố xếp hạng trực tiếp, nhưng ảnh hưởng gián tiếp và mạnh mẽ đến trải nghiệm người dùng, độ tin cậy kỹ thuật và khả năng thu thập dữ liệu — tất cả đều là nền tảng của Technical SEO.

  • Ảnh hưởng đến chức năng đăng nhập & cá nhân hóa: Nếu cookie xác thực bị chặn do cấu hình SameSite sai, người dùng có thể bị đăng xuất bất ngờ khi chuyển từ nguồn ngoài (ví dụ: từ Google Search → trang sản phẩm), làm tăng tỷ lệ thoát và giảm thời gian ở lại.
  • Tác động đến theo dõi hành vi: Các công cụ phân tích (Google Analytics 4, GA4) và tag manager phụ thuộc vào cookie để duy trì phiên và nhận diện người dùng. Cấu hình SameSite=None thiếu Secure sẽ khiến cookie bị trình duyệt từ chối — dẫn đến mất dữ liệu phiên, đo lường sai lệch.
  • Tương thích với Core Web Vitals: Lỗi cookie gây lỗi JavaScript, tải lại không cần thiết hoặc chuyển hướng vòng lặp — làm chậm LCP, tăng CLS, ảnh hưởng đến chỉ số hiệu suất trang.
  • Uy tín bảo mật: Trang web tuân thủ chuẩn bảo mật hiện đại (như SameSite, HTTPS, CSP) được Google ưu tiên trong đánh giá chất lượng trang (Page Experience).

Cách hoạt động

SameSite hoạt động dựa trên ngữ cảnh yêu cầu HTTP — cụ thể là so sánh origin (gốc) của trang đang hiển thị và origin của yêu cầu gửi đi (ví dụ: form submit, fetch API, iframe load).

Khi trình duyệt xử lý cookie, nó kiểm tra giá trị SameSite như sau:

  • SameSite=Strict: Cookie chỉ được gửi nếu yêu cầu xuất phát từ cùng origin — kể cả khi người dùng nhấp vào liên kết từ bên ngoài. An toàn cao nhất, nhưng dễ gây gián đoạn UX.
  • SameSite=Lax: Cho phép gửi cookie trong yêu cầu GET từ liên kết ngoài (ví dụ: nhấp vào URL trong email), nhưng chặn trong POST, iframe, hoặc yêu cầu AJAX cross-site. Đây là mức cân bằng giữa bảo mật và chức năng — được khuyến nghị cho hầu hết cookie xác thực và phiên.
  • SameSite=None: Cho phép gửi cookie trong mọi ngữ cảnh cross-site — nhưng bắt buộc phải kèm thuộc tính Secure (chỉ hoạt động qua HTTPS). Dùng cho cookie cần chia sẻ giữa nhiều miền (ví dụ: hệ thống SSO, widget nhúng, CDN quản lý phiên).

Hướng dẫn thực hiện

Để triển khai đúng SameSite, bạn cần điều chỉnh cách máy chủ đặt cookie — không thể thay đổi bằng JavaScript phía client.

  1. Xác định loại cookie: Phân loại cookie thành nhóm: (a) xác thực/phiên, (b) theo dõi/phân tích, (c) chức năng (ví dụ: giỏ hàng tạm), (d) cookie của bên thứ ba.
  2. Áp dụng giá trị phù hợp:
    • Cookie đăng nhập, session → SameSite=Lax (hoặc Strict nếu không cần hỗ trợ liên kết ngoài)
    • Cookie phân tích (GA4, GTM) → thường SameSite=Lax; nếu dùng qua iframe hoặc domain con riêng biệt → SameSite=None; Secure
    • Cookie bên thứ ba (adtech, chat widget) → SameSite=None; Secure bắt buộc
  3. Cập nhật header HTTP: Thêm vào response header khi gửi cookie. Ví dụ: 
    Set-Cookie: session_id=abc123; Path=/; HttpOnly; Secure; SameSite=Lax
  4. Kiểm tra bằng DevTools: Mở Application → Cookies trong Chrome DevTools → kiểm tra cột SameSiteSecure.
  5. Thử nghiệm đa trình duyệt: Kiểm tra trên Chrome, Edge, Firefox, Safari — vì Safari xử lý SameSite=None nghiêm ngặt hơn (có thể chặn nếu thiếu Secure hoặc dùng trong iframe không tương thích).

Lỗi thường gặp

Dưới đây là những sự cố phổ biến và cách khắc phục:

  • Lỗi: Cookie bị chặn với thông báo "This Set-Cookie was blocked because it had the 'SameSite=None' attribute but did not have the 'Secure' attribute"

    Nguyên nhân: Đặt SameSite=None nhưng thiếu Secure hoặc đang thử nghiệm trên HTTP (không phải HTTPS).

    Cách sửa: Chỉ dùng SameSite=None; Secure trên môi trường HTTPS. Với môi trường local (http://localhost), một số trình duyệt cho phép ngoại lệ — nhưng không nên dựa vào điều này.

  • Lỗi: Người dùng bị đăng xuất khi nhấp từ Google Search

    Nguyên nhân: Cookie phiên được đặt với SameSite=Strict, nên không gửi khi người dùng vào từ kết quả tìm kiếm (cross-site context).

    Cách sửa: Chuyển sang SameSite=Lax cho cookie phiên — vẫn bảo mật chống CSRF nhưng giữ được trải nghiệm người dùng.

  • Lỗi: GA4 không ghi nhận phiên hoặc người dùng mới tăng đột biến

    Nguyên nhân: Cookie phân tích bị chặn do cấu hình SameSite=None thiếu Secure, hoặc dùng trên miền con không được cấu hình chung domain.

    Cách sửa: Kiểm tra domain cookie (dùng Domain=.example.com nếu cần chia sẻ giữa www và subdomain), đảm bảo SameSite=None; Secure và bật HTTPS toàn bộ.

Ví dụ thực tế

Một website thương mại điện tử có tên miền www.example.com và hệ thống thanh toán riêng tại pay.example.com. Họ dùng cookie phiên để giữ trạng thái đăng nhập khi người dùng chuyển giữa hai miền.

Trước khi sửa: 

Set-Cookie: auth_token=xyz789; Path=/; HttpOnly
→ Trình duyệt tự áp dụng SameSite=Lax (Chrome 80+), nên cookie không gửi khi gọi API từ pay.example.com → người dùng phải đăng nhập lại.

Sau khi sửa: 

Set-Cookie: auth_token=xyz789; Path=/; Domain=.example.com; HttpOnly; Secure; SameSite=None
→ Cookie được gửi qua cả hai miền, đồng thời tuân thủ tiêu chuẩn bảo mật.

Bảng so sánh giá trị SameSite:

Giá trị Gửi trong liên kết ngoài (GET) Gửi trong form POST cross-site Gửi trong iframe Yêu cầu kèm Secure?
Strict ❌ Không ❌ Không ❌ Không Không bắt buộc
Lax ✅ Có (chỉ GET) ❌ Không ❌ Không Không bắt buộc
None ✅ Có ✅ Có ✅ Có Bắt buộc

Câu hỏi thường gặp

SameSite có ảnh hưởng đến Googlebot không?

Googlebot không gửi cookie và không thực thi SameSite — nên việc crawl không bị ảnh hưởng. Tuy nhiên, nếu cookie sai làm hỏng render trang (ví dụ: JS bị lỗi do thiếu phiên), thì nội dung động có thể không được index đầy đủ.

Có thể đặt SameSite cho cookie đã tồn tại không?

Không. Mỗi lần gửi cookie là một response độc lập. Bạn phải cập nhật logic máy chủ để thêm thuộc tính vào header Set-Cookie mỗi khi tạo hoặc gia hạn cookie. Cookie cũ trên trình duyệt người dùng sẽ bị ghi đè khi có response mới.

SameSite có cần thiết nếu đã dùng CSRF token?

Có. SameSite và CSRF token là hai lớp bảo mật bổ sung, không thay thế nhau. SameSite ngăn chặn tấn công CSRF ở cấp trình duyệt, còn CSRF token kiểm soát ở cấp ứng dụng. Việc kết hợp cả hai là thực tiễn bảo mật tốt nhất — và được khuyến nghị bởi OWASP.