Der Referer ist eine Variable, in der stehen soll, von welcher Seite der Benutzer kommt, der sich gerade auf der Seite befindet. Hat der User zum Beispiel bei einer Suchmaschine auf einen Link geklickt, so würde der Referer "http://suchmaschine.tld/query?suchwort=german-faq" lauten.

Dies muss allerdings nicht immer so sein:

• Die Entwickler des Browsers haben nicht vorgesehen, dass ein Referer-String mitgesendet wird oder der User hat das Mitsenden des Referers im Browser deaktivert.

• Der User verwendet einen lokalen Proxyserver (z.B. Webwasher), der die Referer-Information herausfiltert.

• Ein Proxyserver bei einem Provider, im Rechenzentrum einer Universität oder in einem Unternehmen ist so konfiguriert, dass er keine Referer-Strings mitsendet.

• Neben dem kompletten Entfernen des Referer-Strings aus den Headerdaten kann es auch möglich sein, dass der Referer durch o.g. Quellen modifiziert wird und dadurch unbrauchbar wird.

Diese Punkte sind Argumente dafür, den Referer nicht zu sicherheitsrelevanten Zwecken auf einer Website einzusetzen.