http referer - what - ¿Qué tan confiable es HTTP_REFERER?

no-referrer-when-downgrade (1)

El uso de HTTP_REFERER no es confiable, su valor depende del encabezado HTTP Referer enviado por el navegador o la aplicación del cliente al servidor y, por lo tanto, no es confiable.

Con respecto al encabezado Referer , la sección 15.1.2 de RFC2616 establece:

Por lo tanto, las aplicaciones DEBEN suministrar el mayor control posible sobre esta información al proveedor de esa información.

y

Sugerimos, aunque no es necesario, que se proporcione una interfaz de alternar conveniente para que el usuario habilite o deshabilite el envío de información de remitente y remitente.

Muchas herramientas de privacidad en línea reducen este valor y muchos navegadores como Firefox han permitido durante mucho tiempo a los usuarios evitar que se envíe este encabezado. Entonces, en pocas palabras, no confiaría en él para ningún propósito serio. Por ejemplo, asegurar formularios para que los remitentes de correo no deseado no puedan publicar valores, porque el Referer puede ser falso.

Para leer más, ver:

Utilizando el campo de referencia para autenticación o autorización (WayBackMachine)