Ответ 1
Ваши онлайн-исследования верны. Основная причина не устанавливать заголовок или эквивалент HTTP Referrer в том, что это может быть проблемой безопасности. Реферер содержит "откуда вы пришли", это личная информация и не должна подвергаться воздействию других, какое использование в противном случае имеет безопасный сайт, если каждый может отслеживать, где вы были?
Итак: вы не можете получить реферер, если реферер зашифрован (с помощью SSL или иным образом).
Обновление: здесь, что HTTP-спецификация говорит о выходе из безопасного сайта:
Клиенты НЕ ДОЛЖНЫ включать поле заголовка Referer в (незащищенном) HTTP-запрос, если ссылочная страница была передана с защищенным Протокол.
Как вы, возможно, догадались, нет никакого способа обойти это ограничение. Ваш единственный вариант - использовать другую модель проверки. Один из таких методов дает вашим пользователям ключ и требует от них отправки этого параметра в качестве параметра с запросом. Можно подумать о нескольких других методах.