Значение HTTP_REFERER может быть легко подделано.Если вы хотите убедиться, что кто-то (или какой-либо веб-сайт) действительно имеет право на доступ к службе, вам нужно использовать какую-то аутентификацию, которая обычно означает ключ API (или для людей, имя пользователя / пароль).