Учитывая, что rfc2616 точно не указывает, что происходит при "перезагрузке" (он только упоминает, что Referer: НЕ ДОЛЖЕН быть отправлен, если URI получен из источника, который не имеет своего собственного URI) , может быть некоторая изменчивость.
Однако, учитывая то, что вы говорите в контексте "безопасности", мне интересно, возможно, вы ожидаете, что Referer: перейдет при переходе со страницы, доступной по HTTPS, на страницу, доступную по HTTP, и при нажатии на Обновить, раздел 15.1.3 содержит конкретное упоминание об этом:
Clients SHOULD NOT include a Referer header field in a (non-secure)
HTTP request if the referring page was transferred with a secure
protocol.
Я бы не стал доверять Рефереру: с точки зрения безопасности. Во-первых, потому что сам стандарт упоминает, что это должно быть регулируемым (rfc2616, стр. 151):
The information sent in the From field might conflict with the user's
privacy interests or their site's security policy, and hence it
SHOULD NOT be transmitted without the user being able to disable,
enable, and modify the contents of the field. The user MUST be able
to set the contents of this field within a user preference or
application defaults configuration.
Во-вторых, с практической точки зрения, контроль над этим полем, например для Firefox: about, config, network.http.sendRefererHeader, документированный, например на здесь .
И если кто-то хочет отправить произвольный заголовок реферера, то «дополнительная работа» - это просто вопрос загрузки и запуска curl с возможностью установить рефереру то, что ему нравится. (--referer ). Таким образом, попытка использовать его в любой обработке, подобной безопасности, - слабая идея.