Asumí que estabas hablando de PHP, espero no haberme equivocado....

A lo que me refiero con que se puede falsear es lo siguiente: no se trata de una cabecera obligatoria, es opcional. Y tampoco hay reglas sobre lo que puede contener, algunas personas (muy pocas) creen que el hecho de enviar esa información es una invasión de la privacidad y por lo tanto hacen que sus navegadores envíen una cadena predeterminada, o que directamente no envíen una cabecera Referer.

Es muy raro que suceda, pero puede suceder. No lo digo en el sentido de "no lo uses porque no es seguro", sino en el sentido de que deberías considerar el caso en el que la variable $_SERVER['HTTP_REFERER'] no tenga un valor válido, o esté en blanco, y en esos casos redireccionar a otra página, la principal por ejemplo.


Saludos.