请注意：：本文仅为方便您阅读而提供。

HubSpot 中的 SSL 和域安全

上次更新时间： 2025年9月26日

可与以下任何订阅一起使用，除非另有说明：

所有产品和计划

当您将域名连接到您的账户时，HubSpot会自动通过谷歌信任服务提供标准SAN SSL证书。标准 SSL 配置通常只需几分钟，但最长可能需要四小时。

如果购买了自定义 SSL 附加组件，就可以将自定义 SSL 证书上传到 HubSpot。您还可以为每个连接的域配置安全设置，如 TLS 版本和安全标头。

请注意：如果在 SSL 配置过程中遇到错误，请了解有关SSL 证书错误的更多信息。

SSL

HubSpot 提供的标准 SAN SSL 是免费的，可在到期前 30 天自动续期。要更新证书：

您必须是 HubSpot 客户。
您的域名 CNAME 必须指向初始过程中设置的安全服务器。

如果你想使用不同的提供商或证书类型，可以通过购买自定义 SSL附加组件为账户添加自定义 SSL证书。你不能使用已有的 SSL 证书，因为这会影响证书的安全性。

请注意：

Google 信任服务是为你的域提供证书的证书颁发机构。如果你的域名有证书颁发机构授权（CAA）记录，请确保 pki.goog 在列，以便 SSL 可以提供或更新。
如果使用的是 Let's Encrypt SSL 证书，建议删除 CAA 记录，然后添加 CAA 记录以支持 Google 信任服务。这将确保你的网站在旧版安卓设备上正常运行。

预先配置 SSL 证书

如果你要将现有网站迁移到 HubSpot，你可能需要预先配置 SSL 证书，这样就不会出现 SSL 停机时间。你可以在将域名连接到HubSpot时预先配置SSL证书。

在域名连接过程中，如果您的网站已有 SSL 证书，则会出现一个横幅。单击预配置，然后按照对话框中的说明开始配置过程。

The domain manager is displayed on the verification step for connecting a domain. A box is placed around the text 'pre-provisioning' for SSL, just below the View my DNS records section.

在单独的浏览器窗口或标签页中，登录域名提供商网站（如 GoDaddy 或 Namecheap）。
在域名提供商的网站上，导航到DNS 设置，在这里可以管理 DNS 记录。
根据 HubSpot 中的 "预配置 SSL 证书 "对话框创建新的DNS 记录。复制主机和所需数据值。
完成后，单击 "预配置 SSL 证书"对话框中的 "验证"。处理你的更改可能需要四个小时。如果单击 "验证 "时出现错误，请稍等片刻，然后单击 "验证 "再次检查。

请注意：如果你使用的是Network Solutions、Namecheap 或GoDaddy，你不需要复制根域。你的服务提供商会自动将根域添加到 DNS 记录的末尾。

证书预配置成功后，域连接屏幕上会出现一个确认横幅。然后，您就可以继续连接域了。

设置域名控制验证 (DCV) 记录

如果你在域名设置中看到 "反向代理域需要你的操作以避免网站中断 "的错误提示，建议添加域控制验证（DCV）记录，以保持你的 SSL 证书是最新的。

在 HubSpot 帐户中，单击顶部导航栏中的 settings“设置”图标。
在左侧边栏菜单中，导航至内容>域名和 URL。
对于每个带有 "需要执行操作 " 标签的域，单击 "操作 "下拉菜单并选择 "显示 DNS 记录"。
在单独的浏览器窗口或标签页中，登录域名提供商的网站并访问 DNS 记录。了解有关最常见提供商 DNS 设置的更多信息。
在域名提供商的网站上，导航到DNS 设置，在这里您可以管理 DNS 记录。
根据 HubSpot 对话框创建新DNS 记录。复制DCV 记录值并将其粘贴到域名提供商网站 DNS 设置中的新记录中。
在 DNS 账户中添加新的 DCV 记录后，DNS 更改可能需要 24 小时才能完成更新。

域名安全设置

你可以为连接到HubSpot的每个子域自定义安全设置。安全设置包括网站协议（HTTP 与 HTTPS）、TLS 版本和网站安全标头。

在 HubSpot 帐户中，单击顶部导航栏中的 settings“设置”图标。
在左侧边栏菜单中，导航至内容>域名和 URL。
单击 "操作 "下拉菜单并选择 "更新域安全设置"。

In the domain settings, an arrow is pointing to the Actions dropdown menu for a domain.

HTTPS 协议

您可以要求网站上的所有页面都通过 HTTPS 安全加载。打开此设置后，通过 HTTP 加载的内容（如图片和样式表）将不会在网站上加载。在 HTTPS 网站上通过 HTTP 加载的内容称为混合内容。了解如何解决页面上的混合内容错误。

在 HubSpot 帐户中，单击顶部导航栏中的 settings“设置”图标。
在左侧边栏菜单中，导航至内容>域名和 URL。
单击操作下拉菜单并选择更新域安全设置。
在右侧面板中，选择 "要求 HTTPS"复选框，以要求域上的所有页面通过 HTTPS 而不是 HTTP 安全加载。
完成后，单击保存。

In the domain manager, the right panel for domain security settings is displayed. A box is placed around the Require HTTPS checkbox.

TLS 版本

默认情况下，HubSpot 服务器将接受使用 TLS 1.0 及以上版本的连接。试图使用低于最低设置的 TLS 版本的连接将失败。

在 HubSpot 帐户中，单击顶部导航栏中的 settings“设置”图标。
在左侧边栏菜单中，导航至内容>域名和 URL。
单击 "操作 "下拉菜单并选择 "更新域安全设置"。
在右侧面板中，单击TLS 版本下拉菜单并选择一个选项。
完成后，单击保存。

In the domain manager, the right panel for domain security settings is displayed. An arrow points to the TLS dropdown menu to select an option.

安全标头

你可以配置你的域安全，并为每个域打开安全头。

HTTP 严格传输安全（HSTS）

您可以通过启用 HTTP 严格传输安全（HSTS）为网站增加一层额外的安全性。HSTS 会指示浏览器将所有 HTTP 请求转换为 HTTPS 请求。启用 HSTS 后，子域上 URL 的请求响应将添加 HSTS 标头。了解有关HSTS 标头的更多信息。

在 HubSpot 帐户中，单击顶部导航栏中的 settings“设置”图标。
在左侧边栏菜单中，导航至内容>域名和 URL。
单击 "操作 "下拉菜单并选择 "更新域安全设置"。
在右侧面板中，单击安全标题选项卡。
要启用 HSTS，请选择HTTP 严格传输安全 (HSTS)复选框。
- 要编辑浏览器将 HTTP 转换为 HTTPS 请求的记忆时间，请单击持续时间 (max-age) 下拉菜单并选择持续时间。
- 要在域的 HSTS 标头中包含预加载指令，请选择启用预加载复选框。了解有关HSTS 预加载的更多信息。
- 要在所选域下的所有子域中包含 HSTS 标头，请选择包含子域复选框。例如，如果www.examplewebsite.com已打开 HSTS，并选择了包含子域 复选框，cool.www.examplewebsite.com也将打开 HSTS。
完成后，单击保存。

On the Security headers tab, a box is placed around the HTTP Strict Transport Security (HSTS) checkbox. An arrow points to the Duration (max-age) dropdown menu. Followed by two checkboxes with boxes placed around them for the Enable preload and Include subdomains options.

其他域安全设置（仅限Content Hub）

如果您有Content Hub 入门级、专业级或企业级 帐户，您可以打开以下附加安全设置。

X 框架选项

你可以打开 X-Frame-Options 响应头，以显示浏览器是否能以<frame> 、<iframe> 、<embed> 或<object> html 标记呈现页面。了解有关X-Frame-Options 标头的更多信息。

在 HubSpot 帐户中，单击顶部导航栏中的 settings“设置”图标。
在左侧边栏菜单中，导航至内容>域名和 URL。
单击 "操作 "下拉菜单并选择 "更新域安全设置"。
在右侧面板中，单击安全标题选项卡。
要打开 X-Frame-Options，请选择X-Frame-Options 复选框，然后单击 "指令"下拉菜单选择一个选项：
- 要防止在上述标记中的任何页面上加载你的域中的页面，请选择拒绝。
- 要只允许自己域上的页面在整个域上加载上述标记，请选择sameorigin。
完成后，单击保存。

On the Security headers tab, a box is placed around the X-Frame-Options checkbox. An arrow points to the Directive dropdown menu to select an option (e.g., deny or sameorigin).

X-XSS 保护

你可以打开 X-XSS-Protection 标头，为旧版网页浏览器的用户增加一层安全保护。打开 X-XSS-Protection 可以防止在检测到跨站脚本时加载页面。了解有关X-XSS-Protection 标头的更多信息。

在 HubSpot 帐户中，单击顶部导航栏中的 settings“设置”图标。
在左侧边栏菜单中，导航至内容>域名和 URL。
单击 "操作 "下拉菜单，选择 "更新域安全设置"。
在右侧面板中，单击安全标头选项卡。
要打开 X-XSS 保护标题，请选中X-XSS 保护复选框，然后单击XSS 设置下拉菜单并选择一个选项：
- 要禁用 XSS 过滤，请选择0。
- 要在检测到跨站脚本攻击时删除页面的不安全部分，请选择1。
- 要在检测到攻击时阻止页面渲染，请选择1; mode=block。
完成后，单击保存。

On the Security headers tab, a box is placed around the X-XSS-Protection checkbox. An arrow points to the XSS setting dropdown menu to select an option (e.g., 0, 1, or 1; mode=block).

X-Content-Type-Options

你可以打开 X-Content-Type-Options 标头，使网页不被侦听 MIME 类型。启用此设置后，浏览器将遵循 Content-Type 标头中公布的 MIME 类型。进一步了解X-Content-Type-Options 标头。

在 HubSpot 帐户中，单击顶部导航栏中的 settings“设置”图标。
在左侧边栏菜单中，导航至内容>域名和 URL。
单击 "操作 "下拉菜单并选择 "更新域安全设置"。
在右侧面板中，单击安全标题选项卡。
要选择不对页面进行 MIME 类型嗅探，请选择X-Content-Type-Options复选框。
完成后，单击保存。

内容安全策略

你可以打开 Content-Security-Policy 标头来控制用户代理可以在页面上加载的资源。该标头有助于防止跨站脚本攻击。

在 HubSpot 帐户中，单击顶部导航栏中的 settings“设置”图标。
在左侧边栏菜单中，导航至内容>域名和 URL。
单击 "操作 "下拉菜单并选择 "更新域安全设置"。
在右侧面板中，单击安全标题选项卡。
要控制用户代理可以加载的资源，请选择内容安全策略复选框：
- 在策略指令字段中输入指令。
  - 为确保 HubSpot 托管页面的全部功能，应包含下表中的域和指令。
  - 有关其他可用指令的列表，请进一步了解Mozilla 的内容-安全-策略标题指南。
- 要在网页版营销电子邮件中使用内容-安全-策略标题，请在此处输入unsafe-inline作为关键字。否则，电子邮件中的样式将被阻止。
- 要允许<script> 元素仅在包含与随机生成的标题值相匹配的 nonce 属性时执行，请选择启用 nonce 复选框。
完成后，单击保存。

On the Security headers tab, a box is placed around the Content-Security-Policy checkbox. An arrow points to the Policy directives text input field. Followed below by a box placed around the Enable nonce checkbox.

请注意：对于来自HubSpot的所有脚本和托管在HubSpot上的所有脚本，HubSpot会在每次请求时自动生成一个随机值。

应包含以下域和指令，以确保 HubSpot 托管页面的全部功能：

领域*	指令	工具
*.hsadspixel.net	脚本源代码	广告
*.hs-analytics.net	脚本源码	分析
*.hubapi.com	连接源	API 调用（HubDB、表单提交）
js.hscta.net	脚本源、图像源、连接源	行动呼吁（按钮）
js-eu1.hscta.net（仅限欧洲数据托管）	脚本源码、图像源码、连接源码	行动呼吁（按钮）
no-cache.hubspot.com	图像源代码	行动呼吁（按钮）
*.hubspot.com	脚本源、图像源、连接源、框架源	行动呼吁（弹出式）、聊天流
*.hs-sites.com	框架源代码	行动呼吁（弹出式）
*.hs-sites-eu1.com （仅限欧洲数据托管）	框架源代码	行动呼吁（弹出式）
static.hsappstatic.net	脚本源	内容（链轮菜单、视频嵌入）
*.usemessages.com	脚本源代码	对话、聊天流
*.hs-banner.com	脚本源代码、连接源代码	Cookie 横幅
*.hubspotusercontent##.net（##可以是00、10、20、30或40）	脚本源代码、图像源代码、样式源代码	文件
*.hubspot.net	脚本源、图像源、框架源	文件
play.hubspotvideo.com	帧源	文件（视频）
play-eu1.hubspotvideo.com（仅限欧洲数据托管）	帧源	文件（视频）
cdn2.hubspot.net	图像源文件、样式源文件	文件、样式表
您连接到 HubSpot 的域	框架源、样式源、脚本源	文件、样式表
*.hscollectedforms.net	脚本源代码、连接源代码	表单（非 HubSpot 表单）
*.hsleadflows.net	脚本源代码	表单（弹出式表单）
*.hsforms.net	脚本源代码、图像源代码、框架源代码	表格、调查
*.hsforms.com	脚本源代码、图像源代码、框架源代码、连接源代码、子源代码	表格、调查
*.hs-scripts.com	脚本源代码	HubSpot 跟踪代码
*hubspotfeedback.com	脚本源代码	调查
feedback.hubapi.com	脚本源代码	调查
feedback-eu1.hubapi.com（仅限欧洲数据托管）	脚本源代码	调查

仅限内容安全政策报告

你可以打开Content-Security-Policy-Report-Only头来监控策略指令。策略指令不会被强制执行，但其效果会受到监控，这在尝试使用策略时非常有用。进一步了解Content-Security-Policy-Report-Only 头信息。

在 HubSpot 帐户中，单击顶部导航栏中的 settings“设置”图标。
在左侧边栏菜单中，导航至内容>域名和 URL。
单击 "操作 "下拉菜单并选择 "更新域安全设置"。
在右侧面板中，单击安全标题选项卡。
要打开此标题，请选择 "仅内容安全政策报告"复选框，然后输入政策指令。
要允许<script> 元素仅在包含与随机生成的标头值相匹配的 nonce 属性时执行，请选择启用 nonce 复选框。
完成后，单击保存。

On the Security headers tab, a box is placed around the Content-Security-Policy-Report-Only checkbox. An arrow points to the Policy directives text input field. Followed below by a box placed around the Enable nonce checkbox.

权限策略

你可以打开 Permissions-Policy 标头来控制页面上浏览器功能的使用，包括<iframe> 元素内容。

在 HubSpot 帐户中，单击顶部导航栏中的 settings“设置”图标。
在左侧边栏菜单中，导航至内容>域名和 URL。
单击操作下拉菜单并选择更新域安全设置。
在右侧面板中，单击安全标题选项卡。
要控制浏览器功能的使用，请选择权限策略 复选框，然后输入指令。有关指令列表，请参阅 Mozilla 的权限策略指南。
完成后，点击保存。

On the Security headers tab, a box is placed around the Permissions-Policy checkbox. An arrow points to the Directives text input field.

这篇文章有帮助吗？

此表单仅供记载反馈。了解如何获取 HubSpot 帮助。