問題場景

例如http://axxx.com/?url=http://b.com/
想獲取http://b.com/下的網頁內容，則需要向該域名發(fā)起請求
但是需要避免訪問到內網

對b.com域名進行ip解析的時候是外網，接著真正請求b.com的時候解析的ip變成了內網
這樣利用了這個時間差就構造了一個ssrf攻擊的場景
涉及dns rebinding

目前想到的一種最暴力的就是添加白名單的方式
希望能有大佬分享一下解決方案，不勝感激

目前是用nodejs在對這個ssrf做防御，有沒有可能在真正發(fā)送請求的時候拿到域名對應請求的ip呢