Hola GatorV:
Muchas gracias por la respuesta.
Mirando las especificaciones de dicha constante dice:
Cita: 'HTTP_REFERER'
La dirección de la página (si la hay) la cual refirió al agente de usuario a la página actual. Este valor es definido por el agente de usuario. No todos los agentes de usuario lo definen, y algunos proveen la capacidad de modificar HTTP_REFERER como una característica del software. En resumen, no se puede confiar realmente en este valor.
Lo de captcha no me sirve, ya que por cada acción que quiera hacer el usuario no puedo pedirle que se coma la cabeza con las letritas.
Y el metodo POST no te da una seguridad real, podrian enviar las variables post dentro del iframe igualmente.
Buscando en google a través de HTTP referer he encontrado el nombre que buscaba:
Cross Site Request Forgery (CSRF) No me deja poner enlaces así que si alguien puede poner la dirección de una página que explica muy bien todo este tema:
Buscar en google --> eslomas.com CSRF y el primer resultado es la URL.
Básicamente dice que la solución que aporta un buen nivel de seguridad es un Token, un número aleatorio generado a partir del login, y que se incluye en todos los formularios como variable oculta para validar que se hace desde el propio sitio. Para evitar que esa clave pueda difundirse a otros sitios se recomienda enviar los formularios por POST.
Y por último y muy IMPORTANTE:
Cita: Comprobación del Referer: una técnica habitual para evitar ataques CSRF es comprobar que la cabecera HTTP_REFERER coincide con la que se esperaría para esa acción. Esto que a primera impresión puede parecer buena idea no lo es tanto ya que esta cabecera se puede manipular de forma trivial, haciendo que contenga lo que se desee y permitiendo saltar fácilmente este control.
Mil y una gracias!!