ひとつの本体スクリプトform2mail.cgiを設置し、
それを複数のサイトから利用しようとしています。
セキュリティのために参照チェックは有効にしたいのですが
そのアクセス元を複数許可設定するところでつまづいています。

-------------------------------
#送信フォームのＵＲＬがここに設定した文字列を含まない場合は送信しない
$ref_url = 'aaa.com';

#■アクセス元をチェックする(いたずらで困っている場合のみ) 0:しない 1:する
$ref_check = 1;

if ($ref_check) {

	$ref = $ENV{'HTTP_REFERER'};
	$ref =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;
	if (!($ref =~ /$ref_url/i)) { &error('Forbidden','実行できるフォーム以外からのアクセスを検知しました.'); }
}
-------------------------------

となっている部分を、

-------------------------------
#送信フォームのＵＲＬがここに設定した文字列を含まない場合は送信しない
@ref_url = ("aaa.com","bbb.jp");

#■アクセス元をチェックする(いたずらで困っている場合のみ) 0:しない 1:する
$ref_check = 1;

if ($ref_check) {

$ref = $ENV{'HTTP_REFERER'};
$ref =~ s/%([a-fA-F0-9][a-fA-F0-9])/pack("C", hex($1))/eg;

	foreach $var(@ref_url){
		if(!($ref =~ /$var/i)) { &error('Forbidden','実行できるフォーム以外からのアクセスを検知しました.'); }
	}

}
-------------------------------

とすれば良いかと思ったのですが、
これでは不備があるようで、許可したいサイトからもForbiddenになります。

どのように直せばよいか、ぜひアドバイスください。
よろしくお願いします。

追加です。

今、投稿文をチェックしていて気づいたのですが
これでは
aaa.comがOKでもbbb.jpに一致しないからダメ
bbb.jpがOKでもaaa.comに一致しないからダメ
・・・
という意味になって、Forbiddenになるの当たり前でした…(^^;)。

でも、じゃあどうすれば？というのは、やっぱりわかりません。
どなたかお知恵いただけませんか？
よろしくお願いします！

1. 正規表現にorで突っ込む。　if(/foo|bar/)〜
　　条件が少ない場合に逃げる方法。コードが少なくて済む。
2. notを噛ませてandをとる。　if(!~ /foo/ && !~ /bar/)〜
　　力技だが何をしたいかはわかる。条件が複雑な時の最後の手段。
3. foreachで回して真だったらフラグを立て、後でフラグを見る。　for(@array){if(/$foo/){++$flag;exit}};if($flag)〜
　　コード量が条件数に影響されないので、条件が多い時に。
4. 条件はいじらず、処理ブロックをひっくり返してしまう。　if(/foo/){偽}else{真}
　　これが最も簡単なこともある。
他にもあるでしょうが、このへんのどれかで組めるかと思います。

しあわせのツボさん、ありがとうございました。
フラグを使う方法で、バッチリ解決しました！

最終的な結果は同じでも、様々な条件の立て方や処理の導き方があるんですよね。
アタマが固いのか、なかなかその辺りに苦労が…(^^;)
おかげさまで、大変参考になりました。
どうもありがとうございました。