Я понимаю, что заголовок реферера легко подделать при использовании стандартного http. Но при использовании https вы можете доверять рефереру или это тоже подделка?
Нет.Использование HTTPS ничего не меняет;рефери все еще может быть подделан;например:
wget --referer=http://whitehouse.gov/ https://example.com/