Почему нельзя делать Loacation на HTTP_REFERER?

В одной статье прочитал это:
HTTP_REFERER записываем, чтобы потом посмотреть. Но ни в коем случае не делаем на него Location.
Там не написано почему нельзя.. кто нибудь знает?

Потому что HTTP заголовки служат только для информации. им нельзя доверять ибо их легко подменить (Как собственно и любым другим данным приходящим от юзера)

Ну это понятно.. а какая в данном случае скрыта опасность? Ну подменит юзер заголовок, и перейдёт по этой ссылке.. Мне то что?

Некоторые браузеры вообще не передают реферер. Оно тебе надо?

я проверяю.. если нет реферера, перемещаю по своей ссылке.
Реферер удобен для кнопки НАЗАД. Насколько я понял никакой опасности тут нет.. просто чьи то рекомендации

Никакой опасности нет.

Просто можна передать пустой. Вот и вся опасность

В прынципе еще возможность если на сильном сервере поставить.

<?
if(!empty($_POST['sulq']))
{echo'<a href="?">go</a>';}
else
header ('Location: http://.../index.php');

намного проще выносить.

Существуют скрипты прокси, с помощью которых можно записать любой реферер. Даже из директории сайта, где стоит location, упомянутый выше.

Написать туда можно и любое слово.