Как вы беспокоитесь об этом? Реферер может быть подделан, если кто-то определен достаточно.
У вас уже есть какая-то форма управления сессиями пользователей - если это так, используйте ее, хотя она по-прежнему не является пуленепробиваемой, если посетитель с другого сайта также вошел в ваш.
ЕСЛИ не ... реализовать что-то эквивалентное путем установки файла cookie на исходной странице с коротким сроком действия, который должен присутствовать (и быть действительным) в целевом действии.