Achtung: Ein Referer-basierter Schutz verläßt sich immer auf etwas, was der Browser sagt. Es ist vom User, der sich die Seite ansieht, ohne Weiteres machbar, den Referer zu faken. Zugegeben, man muß wissen, von wo der DL erlaubt ist, aber es ist machbar. Mit serverseitigem Scripting kann das auch von einer Website aus gemacht werden.

Wie bei allen Sicherungsmaßnahmen gilt also: Wer wirklich reinwill, der kann das mit einigem Aufwand auch schaffen.

Wenn man nicht gerade paranoid ist, sollte es aber reichen.