Quão confiável é HTTP_REFERER?

Preciso verificar e registrar o referenciador de visitantes para meu aplicativo da web. Quão confiável é o uso de HTTP_REFERER ? E existem outras alternativas?

   

    O uso de HTTP_REFERER não é confiável, seu valor depende do header HTTP Referer enviado pelo navegador ou aplicativo cliente para o servidor e, portanto, não é confiável.

    Em relação ao header Referer , seção 15.1.2 do RFC2616 afirma:

    Portanto, as aplicações DEVEM fornecer tanto controle sobre essa informação quanto possível ao provedor dessa informação.

    e

    Sugerimos, embora não exija, que uma conveniente interface de alternância seja fornecida para que o usuário habilite ou desabilite o envio de informações de De e Referer.

    Muitas ferramentas de privacidade on-line manipulam esse valor e muitos navegadores, como o FireFox, há muito tempo permitem que os usuários evitem que esse header seja enviado. Então, em poucas palavras, eu não confiaria nisso para qualquer propósito sério. Por exemplo, proteger formulários para que spammers drive-by não possam postar valores, porque o Referer pode ser falsificado.

    Para mais informações, consulte:

    Usando o campo de referência para autenticação ou autorização (WayBackMachine)