原理：
一般进行 ssrf 防御的模式如下
我们从DNS解析的角度看，该检测方式一共有两次，第一次是对该host进行DNS解析，第二次是使用CURL发包的时候进行解析。这两次DNS解析是有时间差的，我们可以使用这个时间差进行绕过，也就是利用服务器两次解析同一域名的短暂间隙，更换域名背后的ip达到突破同源策略或过waf进行ssrf的目的。

修复
如果应用服务所接收的url是一个固定的域名或者域名范围可控，就应该创建白名单来校验域名。
如果接收的url的域名是不可控的，则可以考虑用一个沙箱环境来进行数据请求，实现内网分离。