SameSite属性を初心者でも理解できるように図解説明|なぜCookieは勝手に送られなくなったのか?

cookie

SameSite属性を初心者でも理解できるように図解説明|なぜCookieは勝手に送られなくなったのか?

最終更新:2026/02/07

「SameSite属性って難しそう…」
Webを触り始めると必ず出てくるワードですが、実は仕組みはとてもシンプルです。

この記事では、図解イメージを使いながら、初心者でもわかるように
SameSite=Lax/Strict/None の違い を丁寧に説明します。

SameSite 属性とは?

SameSite は、Cookie が “どんな状況で送られるか” を決める設定です。

Chrome が 2020年以降に厳格化し、Web全体で重要になりました。

昔のCookieは、他サイトから読み込まれても自由に送信されていたため、
追跡(トラッキング)し放題でした。

これを防ぐために導入されたのが SameSite属性 です。

図解で理解する:SameSite の3つの値

SameSiteには3つのモードがあります。

  • Strict(最も厳しい)
  • Lax(デフォルト)
  • None(サードパーティOK)

① SameSite=Strict(完全に自分のサイトだけ)

自分のサイトからのアクセス以外では Cookie が一切送られない。

例:example.com の Cookie は

  • ✔ example.com → example.com の遷移 → Cookie送られる
  • ✘ 別サイトのリンク → Cookie送られない
  • ✘ 外部から埋め込まれた画像・iframe → Cookie送られない

ログイン状態が外部リンクで切れるので、
ログインが必要なサイトではまず使われません。

② SameSite=Lax(デフォルト / 最もよく使われる)

基本は Strict と同じですが、“リンクをクリックしたとき” だけ Cookie が送られます。

例:

  • ✔ 他サイト → example.com へのリンククリック → Cookie送られる(ログイン維持できる)
  • ✘ iframe, img, script 経由 → Cookie送られない

つまり 「普通のサイトには困らない」けど「追跡はしにくい」絶妙なバランス
なのが Lax です。

③ SameSite=None(サードパーティCookieを許可)

サードパーティCookie(=外部サイトでも使えるCookie)を使うときだけ必要になる設定です。

ただし Chrome の仕様で
SameSite=None のときは Secure 属性が必須(httpsのみ)
になりました。

例:

  • ✔ 広告タグ
  • ✔ 外部ログイン(Google, Twitter など)
  • ✔ 外部決済

これを設定しないと、Cookieが送られずログインできない/決済が失敗することがあります。

OJapp Tips|合わせて読みたい
👉 ページを無料で公開する方法|GitHub Pagesだけでできる超初心者入門 の解説が役に立ちます。

3つをまとめて図解(文章でシンプル)

┌──────────────────────┐
│ SameSite=Strict → 完全に自サイトのみ(最も厳しい) │
│ Cookie送信:自サイト以外 “全部NO” │
└──────────────────────┘

┌──────────────────────┐
│ SameSite=Lax → デフォルト │
│ Cookie送信:自サイト OK / 他サイトからのリンクのみOK │
└──────────────────────┘

┌──────────────────────┐
│ SameSite=None; Secure → サードパーティCookie専用 │
│ Cookie送信:どこからでも送信OK(ただしhttps必須) │
└──────────────────────┘

なぜ SameSite が必要になったのか?

理由はシンプルで、
昔のCookieは「追跡され放題」だった からです。

  • 広告会社がユーザーを複数サイトで追跡できた
  • 意図しないデータ共有が可能だった
  • プライバシーが守れない

SameSite は「どの状況でCookie送る?送らない?」を細かく決めることで
不要な追跡を止める仕組みです。

Web制作で SameSite を意識すべきタイミング

  • 外部ログイン(Google / Twitter / LINE)を使う
  • 外部の支払いページを使う(Stripe など)
  • iframe でサービスを埋め込む
  • クロスドメインでセッションを共有している

特に SameSite=None を忘れると “ログインできない問題” が発生します。

まとめ:SameSiteはCookieが勝手に送られないようにする安全装置

  • Strict → 完全に自サイトのみ
  • Lax → デフォルト。リンク遷移だけOK
  • None → サードパーティ用。Secure必須

初心者には難しそうに見えて、実はたった3つのルールを覚えれば理解できます。
Cookieの仕組みやプライバシーの考え方を理解する上で、SameSiteは避けて通れない重要ポイントです。

Cookie同意バナーの本当の理由|GDPR・トラッキング・規制をわかりやすく解説
👉 https://tips.ojapp.app/cookie-consent-tech/

OJapp Tools をもっと使いこなそう!

あなたの毎日をちょっと便利にする Webツールをまとめています。

👉 OJapp Tools 一覧を見る
https://ojapp.app/top

cookieの最新記事8件