Bene, ora ho un attimo più di tempo, avviciniamoci meglio alla questione che gira nella mia mente...

Approfondiamo.
Posto che un client sotto il nostro controllo può spoofare tale header (esso decide cosa inviare, non si può parlare di spoof per la verità), è possibile invece far modificare il referer ad un browser non sotto il nostro controllo?

Ovvero il client dell'utente A visita la nostra pagina C che lo redirige al sito B tramite link: è possibile che sito B veda un referer da noi (C) voluto?