當您將網域連結至帳戶時, HubSpot會透過Google Trust Services自動佈建 標準SAN SSL憑證。 這通常需要幾分鐘,但最多可能需要四小時。
如果您已購買自訂SSL附加元件,則可以將自訂SSL憑證上傳到HubSpot。 您還可以為每個連線的網域設定安全性設定,例如TLS版本和安全性標頭。
請注意:如果您在SSL佈建過程中遇到錯誤,請進一步瞭解SSL憑證錯誤的疑難排解。
如果您要將現有網站移至HubSpot ,可能需要預先佈建SSL憑證,以免SSL停機。 您可以在將網域連線至HubSpot時預先佈建SSL憑證。
若要預先佈建SSL憑證:
請注意:如果您使用的是Network Solutions、Namecheap或GoDaddy ,則不需要複製根網域。 您的供應商會自動將根網域新增到DNS記錄的末尾。
預先佈建憑證後,網域連線畫面會顯示確認橫幅。 然後,你可以繼續連結網域。
如果您在網域設定中看到「反向Proxy網域需要您的動作以避免網站中斷」的錯誤,建議您新增網域控制驗證(DCV)記錄,以保持SSL憑證為最新狀態。
您可以自訂連線至HubSpot的每個子網域的安全性設定。 安全設定包括網站通訊協定( HTTP與HTTPS )、TLS版本和網站安全標頭。
若要更新網域的安全性設定:
你可以要求網站上的所有頁面透過HTTPS安全載入。 啟用此設定後,透過HTTP載入的內容(如圖片和樣式表)將不會載入你的網站。 在HTTPS網站上透過HTTP載入的內容稱為混合內容。 了解如何解決頁面上的混合內容錯誤。
若要開啟HTTPS通訊協定,請選取[ 需要HTTPS]核取方塊。
根據預設, HubSpot伺服器將接受使用TLS 1.0及更高版本的連線。
若要變更支援的TLS版本,請按一下TLS版本下拉式選單,然後選取您要支援的最低TLS版本 。 嘗試使用低於最低設定的TLS版本的連線將失敗。
您可以設定網域安全性,並為每個網域開啟安全性標頭。
您可以啟用HTTP嚴格傳輸安全性(HSTS) ,為網站增添額外的安全性。 HSTS會指示瀏覽器將所有HTTP要求轉換為HTTPS要求。 啟用HSTS會將HSTS標頭新增至對子網域上URL提出的要求的回應中。
深入瞭解HSTS標頭。
如果你擁有Content Hub Starter、Professional或Enterprise帳戶,可以開啟以下額外安全設定。
開啟X-Frame-Options回應標頭,以指示瀏覽器是否可以在< frame >、< iframe >、< embed >或< object > HTML標籤中呈現頁面。
要打開X-Frame-Options ,請選擇X-Frame-Options復選框,然後從下拉菜單中選擇一個指令:
深入瞭解X-Frame-Options標頭。
開啟X-XSS-Protection標頭,在偵測到跨網站指令碼時,透過防止載入頁面,為舊版網頁瀏覽器的使用者新增一層安全性。
若要開啟此標題,請選取X-XSS-Protection核取方塊,然後從下拉式功能表中選取XSS設定:
深入瞭解X-XSS-Protection標頭。
開啟X-Content-Type-Options標題,以選擇退出MIME類型嗅探頁面。 啟用此設定會告訴瀏覽器遵循Content-Type標頭中通告的MIME類型。
開啟Content-Security-Policy標頭,以控制使用者代理程式可在頁面上載入的資源。 此標頭有助於防止跨網站指令碼攻擊。
若要開啟Content-Security-Policy標頭,請選取Content-Security-Policy核取方塊,然後指定您的Policy指令。 如需可用指令的清單,請參閱Mozilla的Content-Security-Policy標頭指南。
若要在網頁版行銷電子郵件中使用Content-Security-Policy標題,請新增「unsafe-inline」關鍵字,如此處所述。 否則,電子郵件中的樣式將被封鎖。
要允許< script >元素僅在它們包含與隨機生成的標題值匹配的nonce屬性時執行,請選擇啟用nonce。
請注意: HubSpot會在每個請求中為HubSpot的所有腳本和HubSpot上託管的所有腳本自動生成一個隨機值。
應包含以下網域和指令,以確保HubSpot託管頁面上的完整功能:
| 域名* | 指令 | 工具 |
| * .hsadspixel.net | script-src | 廣告 |
| * .hs-analytics.net | script-src | 分析 |
| * .hubapi.com | connect-src | API調用( HubDB、表單提交) |
| js.hscta.net | script-src、img-src、connect-src | 行動呼籲(按鈕) |
| js-eu1.hscta.net (僅限歐洲資料託管) | script-src、img-src、connect-src | 行動呼籲(按鈕) |
| no-cache.hubspot.com | img-src | 行動呼籲(按鈕) |
| * .hubspot.com | script-src、img-src、connect-src、frame-src | 行動呼籲(彈出式視窗)、聊天流程 |
| * .hs-sites.com | frame-src | 行動呼籲(彈出式視窗) |
| * .hs-sites-eu1.com (僅限歐洲資料託管) | frame-src | 行動呼籲(彈出式視窗) |
| static.hsappstatic.net | script-src | 內容(鏈輪選單、影片嵌入) |
| * .usemessages.com | script-src | 對話、聊天流程 |
| * .hs-banner.com | script-src、connect-src | Cookie橫幅 |
| * .hubspotusercontent##.net ( # #可以是00、10、20、30或40 ) | script-src、img-src、style-src | 文件 |
| * .hubspot.net | script-src、img-src、frame-src | 文件 |
| play.hubspotvideo.com | frame-src | 檔案(影片) |
| play-eu1.hubspotvideo.com (僅限歐洲資料託管) | frame-src | 檔案(影片) |
| cdn2.hubspot.net | img-src, style-src | 文件、樣式表 |
| 您的網域已連結至HubSpot | frame-src、style-src、script-src | 文件、樣式表 |
| * .hscollectedforms.net | script-src、connect-src | 表單(非HubSpot表單) |
| * .hsleadflows.net | script-src | 表單(彈出表單) |
| * .hsforms.net | script-src、img-src、frame-src | 表單、調查 |
| * .hsforms.com | script-src、img-src、frame-src、connect-src、child-src | 表單、調查 |
| * .hs-scripts.com | script-src | HubSpot追蹤程式碼 |
| * .hubspotfeedback.com | script-src | 調查 |
| feedback.hubapi.com | script-src | 調查 |
| feedback-eu1.hubapi.com (僅限歐洲資料託管) | script-src | 調查 |
開啟Content-Security-Policy-Report-Only標頭以監視策略指令。 政策指令不會強制執行,但會監控其影響,這在實驗政策時可能很有用。
若要開啟此標頭,請選取Content-Security-Policy-Report-Only核取方塊,然後輸入您的Policy指令。
要允許< script >元素僅在它們包含與隨機生成的標題值匹配的nonce屬性時執行,請選擇打開nonce。
深入瞭解Content-Security-Policy-Report-Only標頭。
開啟推薦人政策標題,以控制推薦人資訊應包含在預約中的數量。
若要開啟此標題,請選取推薦人政策核取方塊,然後從下拉式選單中選取指令。
開啟Permissions-Policy標頭以控制頁面上瀏覽器功能的使用,包括< iframe >元素內容。
若要開啟此標題,請選取「權限-政策」核取方塊,然後輸入您的指令。 如需指令清單,請參閱Mozilla的Permissions-Policy指南。