Cuando abres páginas desde javascript .. no todo navegador entrega el dato del "HTTP_REFERER" al servidor HTTP (para que PHP en tu caso) lo lea. Así que esa validación no puedes usarlas cuando abres ventans vía javascirpt o redireccionas como lo haces.

Parece que no todo navegador entrega dicho dato. IE parece que no .. tal vez Opera lo haga .. pero por eso mismo y por lo poco fiable de ese dato (se puede "corromper" fácilmente) no tienes que usarlo para una validación final efectiva (pese que parece que usas parte o mi "Autentificator" y usa esa "pre-validación" para "salir rápido del script" .. pero igualmente el scirpt original "Autentificator" valida la existencia de la sesión y demás validaciones.)

(Estos temas sobre el comportamiento de navegadores te lo podrían confirmar mejor en el foro de javacript tal vez o de HTML ..)

-----

Si abres ventanas o "refrescas" una ventana (página) es por qué ya PHP podría haberla generado con anterioridad .. así que podrías guardar una variable de sesión justo al final del proceso de tu pagina padre (la que va abrir las hijas o hacer recargas) para que lo valides en las que abras la existencia al menos de esa variable de sesión .. así ya tendrás validado que "han de pasar por ..." para abrir esa ventana o redireccionar.

Un saludo,