Соответствует ли document.referrer заголовку реферера HTTP?

Реферер, отправленный клиентом в заголовке запроса, совпадает с document.referrer доступным в JavaScript. Однако нельзя полагаться на то, что информация о реферере всегда будет доступна.

Клиент должен отправить информацию. Вы можете отключить его, например, в настройках браузера.

В Firefox: https://www.technipages.com/firefox-enable-disable-referrer

или вы можете отключить его с расширением.

В Chrome: https://chrome.google.com/webstore/detail/referer-control/hnkcfpcejkafcihlgbojoidoihckciin?hl=en

Также легко подделать / отправить любого реферера, которого вы хотите. Например, с помощью cURL:

curl --referer http://whatever.com/bot.html http://www.example.com/

РЕДАКТИРОВАТЬ: Вы также можете отключить отправку реферера на странице, чтобы при нажатии на ссылки или вызовах ajax, сделанных с этой страницы, заголовок реферера не отправлялся. Просто добавьте этот тег на страницу.

<meta name="referrer" content="no-referrer" />

Подробнее здесь: https://stackoverflow.com/a/32014225/5601169