跳到内容
请注意::本文仅为方便您阅读而提供。本文由翻译软件自动翻译,可能未经校对。本文的英文版应被视为官方版本,您可在此找到最新信息。您可以在此处访问。

HubSpot 中的 SSL 和域安全

上次更新时间: 2025年12月11日

可与以下任何订阅一起使用,除非另有说明:

当您将域名连接至账户时,HubSpot会通过Google Trust Services自动配置标准SAN SSL证书。标准SSL配置通常只需几分钟,但最长可能需要四小时。

若您已购买自定义SSL附加组件,可将自定义SSL证书上传至HubSpot。您还可为每个关联域名配置安全设置,例如TLS版本和安全标头。

请注意:若在SSL配置过程中遇到错误,请参阅SSL证书错误排查指南获取更多信息。

SSL

HubSpot提供的标准SAN SSL证书免费且会在到期前30天自动续期。如需续期证书:

  • 您必须是HubSpot客户。
  • 您的域名 CNAME 记录必须指向初始设置中配置的安全服务器。
若需使用其他供应商或证书类型,可通过购买自定义SSL附加组件将自定义SSL证书添加至账户。请勿使用现有SSL证书,此举将危及证书安全性。
 
请注意:
  • Google Trust Services 是为您的域名提供证书的证书颁发机构。若您的域名存在证书颁发机构授权(CAA)记录,请确保包含 pki.goog 条目,以便完成 SSL 证书的签发或续期。
  • 若您使用的是Let's Encrypt SSL证书,建议先删除CAA记录,再添加支持Google TrustServices的CAA记录。此操作可确保您的网站在旧版Android设备上正常运行。 

预配置SSL证书

若您正在将现有网站迁移至 HubSpot,建议预先配置 SSL 证书以避免 SSL 服务中断。您可在将域名连接至 HubSpot 时同步完成 SSL 证书预配置。

  1. 在域名连接过程中,若您的网站已有SSL证书,将显示横幅提示。点击预配置按钮,并按对话框中的说明启动配置流程。

  1. 请在另一个浏览器窗口或标签页中登录您的域名服务商网站(如GoDaddy或Namecheap)。
  2. 在域名服务商网站中,导航至管理DNS记录的DNS设置页面。
  3. 根据HubSpot中"预配置SSL证书"对话框的指引创建新DNS记录。复制"主机"和"必需数据"字段值。
  4. 完成后,在"预配置您的SSL证书"对话框中点击"验证"。更改处理可能需要长达四小时。若点击验证时出现错误,请稍等片刻后再次点击验证

请注意:若您使用Network SolutionsNamecheap或GoDaddy服务商,无需复制根域名。您的服务商将自动在DNS记录末尾添加根域名。

  1. 证书预配置成功后,域名连接界面将显示确认横幅。此时即可继续进行域名连接操作

设置域名控制验证(DCV)记录

若域名设置中出现"反向代理域名需您操作以避免网站中断"的错误提示,建议添加域名控制验证(DCV)记录以保持SSL证书有效。 

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings “设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 对于带有"需要操作"标签的域名,请点击操作下拉 菜单并选择"显示DNS记录"。
  4. 在另一个浏览器窗口或标签页中,登录您的域名服务商网站并访问DNS记录。了解常见服务商的DNS设置指南。 
  5. 在您的域名服务商网站上,导航至管理DNS记录的DNS设置页面。
  6. 根据HubSpot对话框中的指引创建新的DNS记录复制DCV记录值,将其粘贴到域名服务商网站DNS设置中的新记录中。
  7. 当您在DNS账户中添加新的DCV记录时,DNS变更完成更新可能需要长达24小时。

域名安全设置

您可为每个连接至 HubSpot 的子域名自定义安全设置。安全设置包括网站协议(HTTP 与 HTTPS)、TLS 版本及网站安全标头。

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings “设置”图标
  2. 在左侧边栏菜单中,依次导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置

HTTPS协议

可强制要求网站所有页面通过HTTPS安全加载。启用此设置后,通过HTTP加载的内容(如图片和样式表)将无法在网站上显示。HTTPS网站中通过HTTP加载的内容称为混合内容。了解如何解决页面混合内容错误

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings “设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,勾选"强制使用HTTPS"复选框,要求域名下的所有页面通过HTTPS而非HTTP安全加载。
  5. 完成后点击保存

TLS版本

默认情况下,HubSpot 服务器接受 TLS 1.0 及以上版本的连接。尝试使用低于最低要求的 TLS 版本的连接将失败。

请注意:某些安全扫描可能显示用于交付 HubSpot 托管内容的 Cloudflare IP 地址存在旧版 TLS 协议(如 TLS 1.0)。这不会影响您网站的安全性。您的网站始终采用域名配置的 TLS 版本(如TLS 1.1TLS 1.2)进行服务。

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings “设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击TLS 版本下拉菜单并选择一项
  5. 完成后,点击保存

安全标头

您可为每个域名配置安全设置并启用安全标头。

HTTP严格传输安全(HSTS)

启用HTTP严格传输安全(HSTS)可为网站增添额外安全层。HSTS会指示浏览器将所有HTTP请求转换为HTTPS请求。启用后,子域URL的响应中将添加HSTS标头。了解更多关于HSTS标头的信息

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings “设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 要启用HSTS,请勾选HTTP严格传输安全(HSTS)复选框。 
    • 若需修改浏览器将HTTP请求转换为HTTPS请求的记忆时长,请点击"时长(max-age)"下拉 菜单并选择时限
    • 若要在域名的HSTS标头中包含预加载指令,请勾选启用预加载复选框。了解更多关于HSTS预加载的信息
    • 若需将HSTS标头应用于所选域名的所有子域名,请勾选"包含子域名"复选框。例如:当www.examplewebsite.com启用HSTS且勾选"包含子域名 "时,cool.www.examplewebsite.com也将自动启用HSTS
  6. 完成设置后,点击保存

其他域名安全设置(内容中心

若您拥有 内容中心StarterProfessionalEnterprise 账户, 可启用以下附加安全设置。

X-Frame-Options

可启用X-Frame-Options响应头,用于控制浏览器是否能在<frame><iframe><embed><object>HTML标签中渲染页面。了解更多关于X-Frame-Options响应头的信息。

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings “设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 要启用 X-Frame-Options,请勾选X-Frame-Options 复选框,然后点击指令下拉 菜单 选择选项
    • 若要阻止您域名的页面在任何页面中通过上述标签加载,请选择"拒绝"。
    • 若仅允许本域页面在同源环境中加载,请选择sameorigin
  6. 完成后点击保存

X-XSS-Protection

可启用 X-XSS-Protection 标头,为旧版浏览器用户增添安全防护层。启用该功能后,当检测到跨站脚本攻击时将阻止页面加载。了解更多关于X-XSS-Protection 标头的信息。

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings “设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 要启用 X-XSS-Protection 标头,请勾选X-XSS-Protection复选框,然后点击XSS 设置下拉菜单并选择选项
    • 要禁用XSS过滤,请选择0
    • 检测到跨站脚本攻击时移除页面不安全部分:选择1
    • 若需在检测到攻击时阻止页面渲染,请选择1; mode=block
  6. 完成后点击保存

X-Content-Type-Options

启用 X-Content-Type-Options 标头可禁止页面进行MIME 类型嗅探。此设置将指示浏览器遵循 Content-Type 标头声明的 MIME 类型。了解更多关于X-Content-Type-Options 标头的信息

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings “设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 若需禁用页面的MIME 类型嗅探功能,请勾选X-Content-Type-Options复选框。
  6. 完成后点击保存

Content-Security-Policy

启用Content-Security-Policy标头可控制用户代理在页面上加载的资源。该标头有助于防范跨站脚本攻击。

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings “设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 为控制用户代理可加载的资源,请勾选“内容安全策略”复选框:
    • 策略指令字段中 输入指令
    • 若要在营销邮件的网页版本中使用Content-Security-Policy标头,请按此处说明将unsafe-inline作为关键词输入。否则邮件样式将被屏蔽。 
    • 若需仅允许包含与随机生成标头值匹配的nonce属性的<script>元素执行,请勾选启用nonce复选框。
  6. 完成后点击保存

请注意:对于所有来自 HubSpot 的脚本以及托管在 HubSpot 上的脚本,HubSpot 会在每次请求时自动生成随机值。

为确保 HubSpot 托管页面功能完整,需包含以下域名和指令:

域名* 指令 工具
*.hsadspixel.net script-src 广告
*.hs-analytics.net script-src  分析
*.hubapi.com connect-src API 调用(HubDB、表单提交)
js.hscta.net script-src、img-src、connect-src 行动号召按钮
js-eu1.hscta.net(仅限欧洲数据托管 script-src, img-src, connect-src 行动号召(按钮)
no-cache.hubspot.com img-src 行动号召(按钮)
*.hubspot.com script-src, img-src, connect-src, frame-src 行动号召(弹窗)、聊天流程
*.hs-sites.com frame-src 行动号召(弹出窗口)
*.hs-sites-eu1.com(仅限欧洲数据托管 frame-src 行动号召(弹出窗口)
static.hsappstatic.net script-src 内容(齿轮菜单、视频嵌入)
*.usemessages.com script-src 对话、聊天流程
*.hs-banner.com script-src, connect-src Cookie横幅
*.hubspotusercontent##.net(##可为00、10、20、30或40) script-src, img-src, style-src 文件
*.hubspot.net script-src、img-src、frame-src 文件
play.hubspotvideo.com frame-src 文件(视频)
play-eu1.hubspotvideo.com(仅限欧洲数据托管 frame-src 文件(视频)
cdn2.hubspot.net img-src, style-src 文件、样式表
您的域名已连接到HubSpot frame-src、style-src、script-src 文件、样式表
*.hscollectedforms.net script-src, connect-src 表单(非HubSpot表单)
*.hsleadflows.net script-src 表单(弹出式表单)
*.hsforms.net script-src, img-src, frame-src 表单、调查
*.hsforms.com script-src、img-src、frame-src、connect-src、child-src 表单、调查
*.hs-scripts.com script-src HubSpot 跟踪代码
*.hubspotfeedback.com script-src 调查
feedback.hubapi.com script-src 调查
feedback-eu1.hubapi.com(仅限欧洲数据托管 script-src 调查

Content-Security-Policy-Report-Only

可启用Content-Security-Policy-Report-Only标头监控策略指令。此时策略指令不会生效,但会记录其影响效果,便于策略测试。了解更多关于Content-Security-Policy-Report-Only标头的信息

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings “设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 要启用此标头,请勾选“仅报告内容安全策略”复选框,然后输入您的策略指令
  6. 若需允许仅当<script>元素包含与随机生成标头值匹配的nonce属性时执行脚本,请勾选启用nonce 复选框。
  7. 完成后点击保存

Referrer-Policy

可启用Referrer-Policy标头来控制请求中包含的引用者信息量。可用指令的定义请参阅Mozilla的Referrer-Policy指南

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings “设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 若需控制请求中包含的引用者信息量,请勾选" 引用者策略" 复选框,随后点击"指令 " 下拉菜单并选择相应选项
  6. 完成后点击保存

Permissions-Policy

可启用 Permissions-Policy 标头来控制页面中浏览器功能的使用,包括<iframe>元素内容。

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings “设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 要控制浏览器功能的使用,请勾选权限策略 复选框,然后输入 指令。指令列表请参阅 Mozilla的权限策略指南
  6. 完成后点击保存
这篇文章有帮助吗?
此表单仅供记载反馈。了解如何获取 HubSpot 帮助

相关内容

相关内容

New call-to-action