estoy aprendiendo algo de ajax y he echo un código para valorar un producto sin necesidad de actualizar la página.

entonces un usuario dará una valoración de 1 a 5 al producto y capto esos datos con javascript, luego a través de ajax los mando a un archivo php y los guardo en la base de datos. todo esto sin actualizar la página.

pero el problema es que si algún usuario mira el archivo .js puede ver a que archivo se mandan los datos y podría acceder a él directamente desde la url. y esto es algo que quiero evitar.

para ello en el archivo php recojo el referer y compruebo si se entró al archivo desde una página de mi web o desde otro sitio, impidiendo así el acceso desde fuera.

ahora mi duda es... hay alguna forma de falsificar los referers?, me refiero a que si un usuario malintencionado pueda hacer algo para acceder a ese archivo cambiando la url del referer por la de mi web o algo asi. es eso posible?