En realidad no es seguro obtenerla desde el servidor tampoco. Por ejemplo, el manual de php dice, respecto de la superglobal $_SERVER['HTTP_REFERER']:
Cita: La dirección de la página (si los hubiere) que se refiere el agente de usuario a la página actual. Esto es establecido por el agente de usuario. No todos los agentes de usuario lo definen, y algunos proveen la capacidad de modificar HTTP_REFERER como una característica. En resumen, realmente no se puede confiar.