Il existe un paramètre de site appelé « allowed_internal_hosts ». Si vous ajoutez le nom d’hôte interne à cette liste, les requêtes vers celui-ci seront autorisées par le détecteur SSRF.
Dans les services d’hébergement partagé (comme l’hébergement officiel discourse.org), les administrateurs ne sont pas autorisés à effectuer des requêtes dans l’environnement d’hébergement, c’est pourquoi cette protection existe par défaut.