HTTP_REFERER no deberías usarlo como base de donde proviene, porque hay antivirus que no permiten que se publique tal información y otras situaciones que no te mostrarán data. Lo mejor es crear un API (si quieres con una llave) y así comparas la llave que llamó el código, con un listado que tengas en la base de datos y así sabes de donde llegó esa información.