Hola,

Segun el procolo HTTP, no existe exigencia de la existencia de esa cabecera. Es decir, los navegadores (user agents) no tienen por que mandar ese valor. Por ejemplo, los links javascripts en algunos navegadores no envian http_referer. Ademas de los navegadores, cualquier programa intermedio (firewall, proxy, ...) puede configurarse para bloquear esa cabecera y no enviarla. Mas que nada por razones de seguridad.

Asi que no dependas de ese valor para asegurarte que viene del formulario. Prueba con una cookie, o una sesion.

Saludos.