zlodiak, если учесть, что сервер (атакующий может его использовать) позволяет подделать referer, то он не может быть "гарантированной защитой". А вообще все гораздо серьезнее, ведь эксплуатируются не только страница/браузер, но различные уязвимости, которые увы есть и всегда будут.
https://xakep.ru/2011/10/31/57627/
https://xakep.ru/2006/10/20/34592/
https://xakep.ru/2008/03/13/42758/
...