Использование HTTP_REFERER не надежно, его значение зависит от заголовка HTTP Referer, отправляемого браузером или клиентским приложением на сервер, и поэтому не может быть доверенным.
Относительно *Заголовок 1005 *, раздел 15.1.2 RFC2616 гласит:
Поэтому приложения ДОЛЖНЫ предоставлять как можно больше контроля над этой информацией поставщику этой информации.
и
Мы предлагаем, хотя и не требуем, предоставить пользователю удобный интерфейс переключения, позволяющий включать или отключать отправку информации «От» и «Referer».
Многие онлайн-инструменты защиты конфиденциальности корректируют это значение, и многие браузеры, такие как FireFox, давно разрешают пользователям предотвращать отправку этого заголовка.Короче говоря, я бы не стал полагаться на это в каких-либо серьезных целях.Например, защита форм таким образом, чтобы спаммеры, работающие на машине, не могли публиковать значения, поскольку Referer можно подделать.
Для дальнейшего чтения см .:
Использованиеполе реферера для аутентификации или авторизации (WayBackMachine)