Bueno, vuelvo a lo mismo, no es confiable depender de una variable que es fácilmente manipulable para confirmar el origen de un request.

Si vas a trabajar con formularios y tu inquietud es mantener el procesamiento del mismo controlado, entonces no necesitas saber el referer, necesitas implementar seguros CSRF.

Te sugiero investigar el término.