跳到内容
请注意::本文仅为方便您阅读而提供。本文由翻译软件自动翻译,可能未经校对。本文的英文版应被视为官方版本,您可在此找到最新信息。您可以在此处访问。

HubSpot 中的 SSL 和域安全

上次更新时间: 2025年12月2日

可与以下任何订阅一起使用,除非另有说明:

当您将域名连接至账户时,HubSpot会通过Google Trust Services自动配置标准SAN SSL证书。标准SSL配置通常只需几分钟,但最长可能需要四小时。

若您已购买自定义SSL附加组件,可将自定义SSL证书上传至HubSpot。您还可为每个关联域名配置安全设置,例如TLS版本和安全标头。

请注意:若在SSL配置过程中遇到错误,请参阅SSL证书错误排查指南获取更多信息。

SSL

HubSpot提供的标准SAN SSL证书免费且会在到期前30天自动续期。如需续期证书:

  • 您必须是HubSpot客户。
  • 您的域名 CNAME 记录必须指向初始设置中配置的安全服务器。
若需使用其他供应商或证书类型,可通过购买自定义SSL附加组件将自定义SSL证书添加至账户。请勿使用现有SSL证书,此举将危及证书安全性。
 
请注意:
  • Google Trust Services 是为您的域名提供证书的证书颁发机构。若您的域名存在证书颁发机构授权(CAA)记录,请确保包含 pki.goog 条目,以便完成 SSL 证书的签发或续期。
  • 若使用 Let's Encrypt SSL 证书,建议先移除现有 CAA 记录,再添加支持 Google Trust Services的 CAA 记录。此操作可确保您的网站在旧版 Android 设备上正常运行。 

预配置SSL证书

若您正在将现有网站迁移至 HubSpot,建议预先配置 SSL 证书以避免 SSL 服务中断。您可在将域名连接至 HubSpot 时同步完成 SSL 证书预配置。

  1. 在域名连接过程中,若您的网站已有SSL证书,将显示横幅提示。点击预配置按钮,并按对话框中的说明启动配置流程。

The domain manager is displayed on the verification step for connecting a domain. A box is placed around the text 'pre-provisioning' for SSL, just below the View my DNS records section.

  1. 请在另一个浏览器窗口或标签页中登录您的域名服务商网站(如GoDaddy或Namecheap)。
  2. 在域名服务商网站中,导航至管理DNS记录的DNS设置页面。
  3. 根据HubSpot中"预配置SSL证书"对话框的指引创建新DNS记录。复制"主机"和"必需数据"字段值。
  4. 完成后,在"预配置您的SSL证书"对话框中点击"验证"。更改处理可能需要长达四小时。若点击验证时出现错误,请稍等片刻后再次点击验证

请注意:若您使用Network SolutionsNamecheap或GoDaddy服务商,无需复制根域名。您的服务商将自动在DNS记录末尾添加根域名。

  1. 证书预配置成功后,域名连接界面将显示确认横幅。此时即可继续进行域名连接操作

设置域名控制验证(DCV)记录

若域名设置中出现"反向代理域名需您操作以避免网站中断"的错误提示,建议添加域名控制验证(DCV)记录以保持SSL证书有效。 

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 对于带有"需要操作"标签的域名,请点击操作下拉 菜单并选择"显示DNS记录"。
  4. 在另一个浏览器窗口或标签页中,登录您的域名服务商网站并访问DNS记录。了解常见服务商的DNS设置指南。 
  5. 在域名服务商网站中,导航至管理 DNS 记录的DNS 设置页面。
  6. 根据HubSpot对话框中的提示创建新的DNS记录复制DCV记录值,将其粘贴到域名服务商网站DNS设置中的新记录中。
  7. 当您在DNS账户中添加新的DCV记录时,DNS变更完成更新可能需要长达24小时。

域名安全设置

您可为每个连接至 HubSpot 的子域名自定义安全设置。安全设置包括网站协议(HTTP 与 HTTPS)、TLS 版本及网站安全标头。

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置

In the domain manager, an arrow points to the Actions dropdown menu for a domain.

HTTPS协议

可强制要求网站所有页面通过HTTPS安全加载。启用此设置后,通过HTTP加载的内容(如图片和样式表)将无法在网站上显示。HTTPS网站中通过HTTP加载的内容称为混合内容。了解如何解决页面混合内容错误

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,勾选"强制使用HTTPS"复选框,要求域名下的所有页面通过HTTPS而非HTTP安全加载。
  5. 完成后点击保存
In the domain manager, the right panel for domain security settings is displayed. A box is placed around the Require HTTPS checkbox.

TLS版本

默认情况下,HubSpot服务器接受TLS 1.0及以上版本的连接。尝试使用低于最低要求的TLS版本的连接将失败。

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击TLS 版本下拉菜单并选择一项
  5. 完成后,点击保存

In the domain manager, the right panel for domain security settings is displayed. An arrow points to the TLS dropdown menu to select an option.

安全标头

您可配置域名安全设置,并为每个域名启用安全标头。

HTTP严格传输安全(HSTS)

启用HTTP严格传输安全(HSTS)可为网站增添额外安全层。HSTS会指示浏览器将所有HTTP请求转换为HTTPS请求。启用HSTS后,子域名的URL请求响应中将添加HSTS标头。了解更多关于HSTS标头的信息

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 要启用HSTS,请勾选HTTP严格传输安全(HSTS)复选框。 
    • 若需修改浏览器将HTTP请求转换为HTTPS请求的记忆时长,请点击"时长(max-age)"下拉 菜单并选择时限
    • 若要在域名的HSTS标头中包含预加载指令,请勾选启用预加载复选框。了解更多关于HSTS预加载的信息
    • 若需将HSTS标头应用于所选域名的所有子域名,请勾选"包含子域名"复选框。例如:当www.examplewebsite.com启用HSTS且勾选"包含子域名 "时,cool.www.examplewebsite.com也将自动启用HSTS
  6. 完成设置后,点击保存

On the Security headers tab, a box is placed around the HTTP Strict Transport Security (HSTS) checkbox. An arrow points to the Duration (max-age) dropdown menu. Followed by two checkboxes with boxes placed around them for the Enable preload and Include subdomains options.

其他域名安全设置(内容中心

若您拥有 内容中心StarterProfessionalEnterprise 账户, 可启用以下附加安全设置。

X-Frame-Options

可启用X-Frame-Options响应头,用于控制浏览器是否能在<frame><iframe><embed><object>HTML标签中渲染页面。了解更多关于X-Frame-Options响应头的信息。

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 要启用 X-Frame-Options,请勾选X-Frame-Options 复选框,然后点击指令下拉 菜单 选择选项
    • 若要阻止您域名的页面在任何页面中通过上述标签加载,请选择"拒绝"。
    • 若仅允许本域页面在同源环境中加载,请选择sameorigin
  6. 完成后点击保存
On the Security headers tab, a box is placed around the X-Frame-Options checkbox. An arrow points to the Directive dropdown menu to select an option (e.g., deny or sameorigin).

X-XSS-Protection

可启用 X-XSS-Protection 标头,为旧版浏览器用户增添安全防护层。启用该功能后,当检测到跨站脚本攻击时将阻止页面加载。了解更多关于X-XSS-Protection 标头的信息。

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 要启用 X-XSS-Protection 标头,请勾选X-XSS-Protection复选框,然后点击XSS 设置下拉菜单并选择选项
    • 要禁用XSS过滤,请选择0
    • 检测到跨站脚本攻击时移除页面不安全部分:选择1
    • 若需在检测到攻击时阻止页面渲染,请选择1; mode=block
  6. 完成后点击保存
On the Security headers tab, a box is placed around the X-XSS-Protection checkbox. An arrow points to the XSS setting dropdown menu to select an option (e.g., 0, 1, or 1; mode=block).

X-Content-Type-Options

启用 X-Content-Type-Options 标头可禁止页面进行MIME 类型嗅探。此设置将指示浏览器遵循 Content-Type 标头声明的 MIME 类型。了解更多关于X-Content-Type-Options 标头的信息

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 若需禁用页面的MIME类型嗅探功能,请勾选X-Content-Type-Options复选框。
  6. 完成后点击保存

Content-Security-Policy

启用 Content-Security-Policy 标头可控制用户代理在页面上加载的资源。该标头有助于防范跨站脚本攻击。

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 为控制用户代理可加载的资源,请勾选“内容安全策略”复选框:
    • 策略指令字段中 输入指令
    • 若要在营销邮件的网页版本中使用Content-Security-Policy标头,请按此处说明将unsafe-inline作为关键词输入。否则邮件样式将被屏蔽。 
    • 若需仅允许包含与随机生成标头值匹配的nonce属性的<script>元素执行,请勾选启用nonce复选框。
  6. 完成后点击保存

On the Security headers tab, a box is placed around the Content-Security-Policy checkbox. An arrow points to the Policy directives text input field. Followed below by a box placed around the Enable nonce checkbox.

请注意:对于所有来自 HubSpot 的脚本以及托管在 HubSpot 上的脚本,HubSpot 会在每次请求时自动生成随机值。

为确保 HubSpot 托管页面功能完整,需包含以下域名和指令:

域* 指令 工具
*.hsadspixel.net script-src 广告
*.hs-analytics.net script-src  分析
*.hubapi.com connect-src API 调用(HubDB、表单提交)
js.hscta.net script-src、img-src、connect-src 行动号召按钮
js-eu1.hscta.net(仅限欧洲数据托管 script-src, img-src, connect-src 行动号召(按钮)
no-cache.hubspot.com img-src 行动号召(按钮)
*.hubspot.com script-src, img-src, connect-src, frame-src 行动号召(弹窗)、聊天流程
*.hs-sites.com frame-src 行动号召(弹出窗口)
*.hs-sites-eu1.com(仅限欧洲数据托管 frame-src 行动号召(弹出窗口)
static.hsappstatic.net script-src 内容(齿轮菜单、视频嵌入)
*.usemessages.com script-src 对话、聊天流程
*.hs-banner.com script-src, connect-src Cookie横幅
*.hubspotusercontent##.net(##可为00、10、20、30或40) script-src, img-src, style-src 文件
*.hubspot.net script-src、img-src、frame-src 文件
play.hubspotvideo.com frame-src 文件(视频)
play-eu1.hubspotvideo.com(仅限欧洲数据托管 frame-src 文件(视频)
cdn2.hubspot.net img-src, style-src 文件、样式表
您的域名已连接到HubSpot frame-src、style-src、script-src 文件、样式表
*.hscollectedforms.net script-src, connect-src 表单(非HubSpot表单)
*.hsleadflows.net script-src 表单(弹出式表单)
*.hsforms.net script-src, img-src, frame-src 表单、调查
*.hsforms.com script-src, img-src, frame-src, connect-src, child-src 表单、调查
*.hs-scripts.com script-src HubSpot 跟踪代码
*.hubspotfeedback.com script-src 调查
feedback.hubapi.com script-src 调查
feedback-eu1.hubapi.com(仅限欧洲数据托管 script-src 调查

Content-Security-Policy-Report-Only

可启用Content-Security-Policy-Report-Only标头以监控策略指令。此时策略指令不会生效,但会记录其影响效果,这在策略测试阶段尤为实用。了解更多关于Content-Security-Policy-Report-Only标头的信息

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 要启用此标头,请勾选“仅报告内容安全策略”复选框,然后输入您的策略指令
  6. 若需允许仅当<script>元素包含与随机生成标头值匹配的nonce属性时执行脚本,请勾选启用nonce 复选框。
  7. 完成后点击保存

On the Security headers tab, a box is placed around the Content-Security-Policy-Report-Only checkbox. An arrow points to the Policy directives text input field. Followed below by a box placed around the Enable nonce checkbox.

Referrer-Policy

可启用Referrer-Policy标头来控制请求中包含的引用者信息量。可用指令的定义请参阅Mozilla的Referrer-Policy指南

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 若需控制请求中包含的引用者信息量,请勾选" 引用者策略" 复选框,随后点击"指令 " 下拉菜单并选择相应选项
  6. 完成后点击保存

On the Security headers tab, a box is placed around the Referrer-Policy checkbox. An arrow points to the Directive dropdown menu to select an option.

Permissions-Policy

可启用 Permissions-Policy 标头来控制页面上浏览器功能的使用,包括<iframe>元素内容。

  1. 在 HubSpot 帐户中,单击顶部导航栏中的 settings“设置”图标
  2. 在左侧边栏菜单中,导航至内容>域名与网址
  3. 点击操作下拉 菜单,选择更新域名安全设置
  4. 在右侧面板中,点击安全标头选项卡。
  5. 要控制浏览器功能的使用,请勾选权限策略 复选框,然后输入 指令。指令列表请参阅 Mozilla的权限策略指南
  6. 完成后点击保存

On the Security headers tab, a box is placed around the Permissions-Policy checkbox. An arrow points to the Directives text input field.
这篇文章有帮助吗?
此表单仅供记载反馈。了解如何获取 HubSpot 帮助
目录 菜单

相关内容

New call-to-action