リファラ(含めリクエストヘッダの情報)はブラウザから送信されるデータであり、ブラウザ側からかんたんに偽装ができるため、リファラスパムというスパム行為が行われることがある。
リファラスパムは、たとえば以下のようなプログラムによりリファラを偽装することにより、GAなどでリファラを見たユーザーに悪意あるリンクを踏ませたり、アクセス解析を邪魔させるような行為である。

file_get_contents($targetURL, false, stream_context_create([
  'http' => [
    'method' => "GET",
    'header' => "Referer: ". $refererURL,
  ],
]));

そのため、リファラなどで認証を行うプログラムを組むことは非常に脆弱である。
リファラは確実な情報ではないという認識のもと、プログラムを組まなければならない。