跳到內容
請注意::這篇文章的翻譯只是為了方便而提供。譯文透過翻譯軟體自動建立,可能沒有經過校對。因此,這篇文章的英文版本應該是包含最新資訊的管理版本。你可以在這裡存取這些內容。

HubSpot 中的 SSL 和域安全

上次更新時間: 二月 28, 2025

可与下列任何一种订阅一起使用,除非有说明:

所有產品和版本

当您将域名连接到您的账户时,HubSpot会自动通过谷歌信任服务提供标准SAN SSL证书。标准 SSL 配置通常需要几分钟,但最长可能需要四小时。

如果购买了自定义 SSL 附加组件,就可以将自定义 SSL 证书上传到 HubSpot。您还可以为每个连接的域配置安全设置,如 TLS 版本和安全标头。

请注意:如果在 SSL 配置过程中遇到错误,请进一步了解SSL 证书错误的故障排除

SSL

HubSpot 提供的标准 SAN SSL 是免费的,并在到期前 30 天自动续期。要更新证书

  • 您必须是 HubSpot 客户。
  • 您的域名 CNAME 必须指向初始过程中设置的安全服务器。
如果你希望使用不同的提供商或证书类型,可以通过购买自定义 SSL附加组件为你的账户添加自定义 SSL证书。您不能使用已有的 SSL 证书,因为这会影响证书的安全性。
 
请注意
  • Google 信任服务是为您的域名提供证书的证书颁发机构。如果你的域名有证书颁发机构授权(CAA)记录,请确保 pki.goog 在列,这样 SSL 才能被提供或续期。
  • 如果使用的是 Let's Encrypt SSL 证书,建议删除 CAA 记录,然后添加 CAA 记录以支持 Google 信任服务。这将确保你的网站在旧版安卓设备上正常运行。

预先配置 SSL 证书

如果您要将现有网站迁移到 HubSpot,您可能需要预先配置 SSL 证书,这样就不会出现 SSL 停机时间。在将域名连接到 HubSpot 时,你可以预先配置 SSL 证书。

要预先配置 SSL 证书:

  • 在域名连接过程的DNS 设置页面上,如果您的网站已有 SSL 证书,则会出现一个横幅。单击单击此处开始配置过程。

    pre-provision-ssl-certificate

  • 按照对话框中的说明操作:
    • 登录 DNS 提供商账户,如 GoDaddy 或 Namecheap。
    • 在 DNS 提供商中,导航到管理 DNS 记录的 DNS设置 屏幕。
    • 使用对话框中提供的主机(名称),根据对话框创建新 DNS 记录。

请注意:如果使用的是Network SolutionsNamecheapGoDaddy,则无需复制根域。您的提供商会自动将根域添加到 DNS 记录的末尾。

  • 单击 "验证"。处理更改可能需要四个小时。如果单击 "验证 "时出现错误,请稍等片刻,然后单击 "验证 "再次检查。

证书预配置完成后,域连接屏幕上会出现一个确认横幅。然后您就可以继续连接您的域了。

ssl-pre-provision-success-banner

设置域控制验证 (DCV) 记录

如果你在域名设置中看到 "反向代理域名需要你的操作以避免网站中断 "的错误提示,建议添加域名控制验证(DCV)记录,以保持你的 SSL 证书是最新的。

reverse-proxy-alert

你可以通过以下步骤添加 DCV 记录:
  • 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
  • 在左侧边栏菜单中,导航至内容>域名和 URL
  • 对于每个带有 "需要执行操作 " 标签的域,单击 "编辑 "下拉菜单并选择 "显示 DNS 记录"。

action-required-for-domain

  • 在另一个窗口中,登录 DNS 提供商并访问 DNS 记录。有关编辑最常见 DNS 提供商 DNS 记录的详细说明,请查看DNS 设置指南
  • 在 HubSpot 中,复制对话框中的 DCV 记录值,然后将其粘贴到 DNS 提供商账户中的新记录中。在 DNS 账户中添加新的 DCV 记录后,DNS 更改可能需要 24 小时才能完成更新。

域安全设置

您可以为连接到 HubSpot 的每个子域自定义安全设置。安全设置包括网站协议(HTTP 与 HTTPS)、TLS 版本和网站安全标头。

更新域的安全设置:

  • 在你的 HubSpot 帳戶中,點擊頂端導覽列中的settings「設定圖示」。
  • 在左侧边栏菜单中,导航至内容>域名和 URL
  • 在域旁边,单击操作 菜单并选择更新域安全设置
update-domain-security-settings


HTTPS 协议

您可以要求网站上的所有页面都通过 HTTPS 安全加载。打开此设置后,通过 HTTP 加载的内容(如图片和样式表)将无法在网站上加载。在 HTTPS 网站上通过 HTTP 加载的内容称为混合内容。了解如何解决页面上的混合内容错误

要打开 HTTPS 协议,请选择 " 要求 HTTPS "复选框。

require-https

TLS 版本

默认情况下,HubSpot 服务器将接受使用 TLS 1.0 及以上版本的连接。

要更改支持的 TLS 版本,请单击TLS 版本下拉菜单,选择要支持的最低 TLS 版本 。尝试使用低于最低设置的 TLS 版本的连接将失败。

TLS-version

安全标头

您可以为每个域配置域安全并打开安全标头。

HTTP 严格传输安全(HSTS)

您可以通过启用 HTTP 严格传输安全(HSTS)为网站增加一层额外的安全保护。HSTS 会指示浏览器将所有 HTTP 请求转换为 HTTPS 请求。启用 HSTS 后,子域上 URL 的请求响应将添加 HSTS 标头。

  • 要打开 HSTS,请单击 "安全标头"选项卡,然后选择HTTP 严格传输安全(HSTS)复选框。


security-HSTS-setting

  • 要设置浏览器将 HTTP 转换为 HTTPS 请求的记忆时间,请单击持续时间 (max-age)下拉菜单并选择持续时间
  • 要在域的 HSTS 标头中包含预加载指令,请选择启用预加载复选框。了解有关HSTS 预加载的更多信息。
  • 要在选定子域下的所有子域中包含 HSTS 标头,请选择包含子域复选框。例如,如果www.examplewebsite.com已打开 HSTS 并选择了包含子域 复选框,cool.www.examplewebsite.com也将打开 HSTS。

了解有关HSTS 标头的更多信息。

其他域安全设置仅限内容集线器)

如果您有Content Hub StarterProfessionalEnterprise 帐户,您可以打开下面的附加安全设置。

X-Frame-Options

打开 X-Frame-Options 响应标头,以指示浏览器是否能以 <frame>、<iframe>、<embed> 或 <object> HTML 标记呈现页面。

要打开 X-Frame-Options,请选择X-Frame-Options复选框,然后从下拉菜单中选择一个指令

  • 若要阻止您域名上的页面在任何页面上加载上述标记,请选择拒绝
  • 若要仅允许在您的域中以上述标记加载您域中的页面,请选择sameorigin

    x-frame-options-setting

进一步了解X-Frame-Options 标头

X-XSS 保护

打开 X-XSS-Protection 标头,在检测到跨站脚本时阻止页面加载,为旧版网络浏览器用户增加一层安全保护。

要打开此标题,请选择X-XSS-Protection复选框,然后从下拉菜单中选择XSS 设置

  • 要禁用 XSS 过滤,请选择0
  • 要在检测到跨站脚本攻击时删除页面的不安全部分,请选择1
  • 要在检测到攻击时阻止页面渲染,请选择1; mode=block

    x-xss-protection-header

进一步了解X-XSS-Protection 标头

X-Content-Type-Options

打开 X-Content-Type-Options 标头,使网页退出MIME 类型嗅探。启用此设置后,浏览器将遵循 Content-Type 标头中公布的 MIME 类型。

x-content-type-options

进一步了解X-Content-Type-Options 标头

内容安全政策

打开内容-安全-策略(Content-Security-Policy)标头,以控制用户代理可以在页面上加载的资源。该标头有助于防止跨站脚本攻击。

要打开 "内容-安全-策略 "标题,请选择 "内容-安全-策略"复选框,然后指定 "策略 "指令。有关可用指令的列表,请查看Mozilla 的内容-安全-策略标题指南

要在网络版营销电子邮件中使用内容-安全-策略标题,请添加 "unsafe-inline "关键字,如此处所述。否则,电子邮件中的样式将被阻止。

要允许 <script> 元素仅在包含与随机生成的标题值相匹配的 nonce 属性时执行,请选择启用 nonce

请注意:对于来自 HubSpot 的所有脚本和托管在 HubSpot 上的所有脚本,HubSpot 会在每次请求时自动生成一个随机值。

应包含以下域和指令,以确保 HubSpot 托管页面的全部功能:

领域* 指令 工具
*.hsadspixel.net 脚本源代码 广告
*.hs-analytics.net 脚本源代码 分析
*.hubapi.com connect-src API 调用(HubDB、表单提交)
js.hscta.net 脚本源、图像源、连接源 行动呼吁(按钮)
js-eu1.hscta.net(仅限欧洲数据托管) 脚本源代码、图像源代码、连接源代码 行动呼吁(按钮)
no-cache.hubspot.com 图片来源 行动号召(按钮)
*.hubspot.com 脚本源、图像源、连接源、框架源 行动呼吁(弹出式)、聊天流
*.hs-sites.com 框架源代码 行动呼吁(弹出式)
*.hs-sites-eu1.com (仅限欧洲数据托管) 框架源代码 行动呼吁(弹出式)
static.hsappstatic.net 脚本源代码 内容(链轮菜单、视频嵌入)
*.usemessages.com 脚本源代码 对话、聊天流程
*.hs-banner.com 脚本源代码, 连接源代码 Cookie 横幅
*.hubspotusercontent##.net(## 可以是 00、10、20、30 或 40) 脚本源文件、图像源文件、样式源文件 文件
*.hubspot.net 脚本源文件、图像源文件、框架源文件 文件
play.hubspotvideo.com 帧源 文件(视频)
play-eu1.hubspotvideo.com(仅限欧洲数据托管) 帧源 文件(视频)
cdn2.hubspot.net 图像源代码、样式源代码 文件、样式表
您连接到 HubSpot 的域 框架源代码、样式表源代码、脚本源代码 文件、样式表
*.hscollectedforms.net 脚本源代码, 连接源代码 表单(非 HubSpot 表单)
*.hsleadflows.net 脚本源代码 表单(弹出式表单)
*.hsforms.net 脚本源、图像源、框架源 表格、调查
*.hsforms.com 脚本源代码、图像源代码、框架源代码、连接源代码、子源代码 表单、调查
*.hs-scripts.com 脚本源代码 HubSpot 跟踪代码
*.hubspotfeedback.com 脚本源代码 调查
feedback.hubapi.com 脚本源代码 调查
feedback-eu1.hubapi.com(仅限欧洲数据托管) 脚本源代码 调查

仅限内容安全政策报告

打开 Content-Security-Policy-Report-Only 标头以监控策略指令。策略指令不会被强制执行,但其效果会受到监控,这在尝试使用策略时非常有用。

要打开此标题,请选择 "仅内容安全政策报告"复选框,然后输入政策指令

要允许 <script> 元素仅在包含与随机生成的标题值相匹配的 nonce 属性时执行,请选择打开 nonce。

content-security-policy-report-only-header

进一步了解 "仅限内容安全政策报告"(Content-Security-Policy-Report-Only) 标头

推荐人政策

打开 Referrer-Policy 标头,以控制请求中应包含多少推荐人信息。

要打开此标题,请选中Referrer-Policy复选框,然后从下拉菜单中选择一个指令

referrer-policy-header有关可用指令的定义,请参阅Mozilla 的 Referrer-Policy 指南

权限政策

打开 "权限策略 "标题,以控制页面上浏览器功能的使用,包括 <iframe> 元素内容。

要打开此标题,请选择 "权限政策"复选框,然后输入你的指令。有关指令列表,请参阅Mozilla 的权限政策指南

permissions-policy-directives
這篇文章有幫助嗎?
此表單僅供記載意見回饋。了解如何取得 HubSpot 的協助
目錄

相關內容