Ich frag mich aber gerade, was in diesem Fall passiert: Wenn ich eine böse Seite example.evil habe, die beim Aufruf den referer example.com bekommt, und dann ein HTML liefert, das in einem Frame example.com referenziert - dann würden die Aufrufe aus dem Frame doch auf die Keksdose von example.com zugreifen und die Session ID mitliefern. D.h. wenn example.com so gebaut ist, dass GET Requests mehr tun als nur Daten zu lesen, könnte example.evil mittels Referer Schaden anrichten. Oder?

Ja, dabei ist der Referer nicht mal notwendig. Man nennt so einen Angriff Cross-Site Request Forgery, viele moderne Frameworks schützen auch automatisch davor, aber das sollte man im Zweifelsfall besser recherchieren und ggf. nachrüsten.