Активно работаю с движком опенкарт, где реализовано такое (правда, без защиты реферера) - вполне нормально на самом деле. Операторы, склад и хозяева сайтов проблем не испытывают.

Редирект не поможет, в реферере будет урл изначальной страницы. Если только там (на /redir?/user) будет редирект не http-заголовком, а яваскриптом - тогда поможет.
Или ещё такой вариант есть: https://caniuse.com/#feat=rel-noreferrer

Нет.

Альтернативы какие?

Хотя в вашем случае всё-таки лучше яваскриптом.

Если контекст, где выполняются скрипты пользователей, находится внутри iframe, то возможно использовать атрибут sandbox.

Атрибут sandbox, если задан, включает набор дополнительных ограничений для любого содержимого, размещенного в iframe.

Когда атрибут установлен, содержимое обрабатывается как изолированный документ, формы, скрипты и различные потенциально мешающие API отключены, предотвращается переход ссылок на другие контексты браузинга, плагины безопасны.

Значение атрибута allow-same-origin заставляет считать содержимое происходящим из реального источника вместо того, чтобы считать его как изолированный документ, значение allow-top-navigation позволяет содержимому выполнять навигацию по его контексту браузинга верхнего уровня; а значения allow-forms, allow-pointer-lock, allow-popups и allow-scripts включают соответственно формы, API блокировки указателя, всплывающие окна и скрипты.

Пример:

<iframe sandbox="allow-scripts"></iframe>

В примере встроенное содержимое имеет включенный скриптинг, но отключены API, плагины, формы и не может выполняться навигация по фреймам или окнам, кроме самого себя (или по любым фреймам или окнам, которые оно само внедрило).