Hallo Kodi,

Also sollte man beim ausgeben der Referrer Informationen die String
sozusagen überprüfen und HTML bzw. Javaskript Code entfernen.

Jein, du musst es nicht zwingend entfernen, überlege dir nur, mit welchen gesendeten Referen bei dir irgendein unerwünschtes verhalten passieren könnte.

Geht oder reicht es dann mit strip_tags() bestimmte Zeichen zu
entfernen?

Besser ist vermutlich htmlentities(), du kannst dann zusätzlich noch überprüfen, ob der Referer ne gültige URL ist. Dsa betrifft natürlich nur die HTMl-Ausgabe. Falls du den Referer in ne Datenbank schreiben willst, musst du andere Methoden zum escapen verwenden und wenn du ihn nur mit irgendwas vergleichst musst (und solltest) du eigentlich keine solche Prüfung vornehmen.

Jonathan