是的,HTTP_REFERER 可以被伪造。HTTP_REFERER 是一个 HTTP 头部字段,它表示发起请求的原始页面的 URL。然而,这个字段并不是强制性的,客户端(例如浏览器)可以选择不发送这个字段,或者发送一个虚假的地址。因此,依赖 HTTP_REFERER 来执行安全操作可能会导致安全问题。
如果你需要验证用户的身份或来源,建议使用其他方法,如会话管理、令牌验证或 IP 地址限制等。