问题场景

例如http://axxx.com/?url=http://b.com/
想获取http://b.com/下的网页内容，则需要向该域名发起请求
但是需要避免访问到内网

对b.com域名进行ip解析的时候是外网，接着真正请求b.com的时候解析的ip变成了内网
这样利用了这个时间差就构造了一个ssrf攻击的场景
涉及dns rebinding

目前想到的一种最暴力的就是添加白名单的方式
希望能有大佬分享一下解决方案，不胜感激

目前是用nodejs在对这个ssrf做防御，有没有可能在真正发送请求的时候拿到域名对应请求的ip呢