Поддерживается не только классическая проверка реферера, толку от неё уже немного, т.к. через тэг <meta> можно легко запретить передачу рефа. Защититься от нежелательного скачивания можно через:
Один из лучших вариантов защиты от нежелательного скачивания - привязать ссылку к IP браузера и указать список разрешённых рефереров. Но около 10-15% заходов используют динамические IP (на сайт будет запрос с одного IP, а в cdn - с другого). Для того чтобы спасти часть этого трафа, антихотлинк проверяет дополнительно реф - если виден непустой валидный реф, то запрос пропускается, даже если IP не подходит под тот диапазон что требуется в урле. Можно спасти ещё больше трафа с динамическими IP, если ещё проверять и cookie, но тут нужно делегировать ваш поддомен на наши НС-ы, чтобы мы могли использовать их в редиректах на стримы.