Hi,

Den Referer kannst Du pruefen.
Und auf was genau soll der geprüft werden? Ob der User innerhalöb des Systems nur interne Links nutzt oder was?
Ja. Wenn ich eine Session hijacke, komme ich nicht unbedingt von einer Seite des Systems.

Und was soll den Bot davon abhalten, eine passende URL als Referrer zu übergeben?

Worin liegt der Sicherheitsgewinn hierbei?
Wenn auf einer Seite, die nach einer Taneingabe folgt und die eine Ueberweisung ausloest, google die letzte Seite war, hast Du ein kleineres Sicherheitsproblem.

Was hat der Referrer mit der letzten besuchten Seite zu tun? Nur weil der Referrer in Ausnahmefällen zufällig deren URL enthalten könnte?

Ich wuerde beide Moeglichkeiten nicht unbedingt weiterverfolgen

Das ist sinnvoll.

cu,
Andreas