Microsoft.HTTPXML ActiveX には setRequestHeader というメソッドがあるのですが、ヘッダとして "Referer" を指定した場合、上書きされません。セキュリティ上の観点からだと思われます。
ただし "Referer:" のようにコロンをつけて指定すると Referer ヘッダとして、指定した値が送られます。これを利用すると Referer ヘッダを書き換えることができます。例えば以下の場合 Referer として "http://www.yahoo.co.jp" が送られます。
r.setRequestHeader("Referer:","http://www.yahoo.co.jp")
これは IE のセキュリティホールのようです。したがってそのうち patch が出るかもしれません。(参考:http://secunia.com/advisories/16942/)
スクリプトに以下のコードを入れて、ユーザーの判断を仰ぎます。
netscape.security.PrivilegeManager.enablePrivilege("UniversalPreferencesRead")
これによりユーザーにどんなコンテンツを読み込んでも良いかどうか判断をさせるダイアログが表示されます。ユーザーが許可すればスクリプトは他のサーバーのコンテンツを取得することができます。
詳細は Signed Scripts in Mozilla にかかれています。