зачем удалять кукисы? и их удалять нельзя, потому что их хавает http://xxx.ru/request.php

Дело в том, что нужно провернуть всё незаметно для юзера. Юзер заходит на mysite.com/index.html , а его браузер должен незаметно выполнить от его имени (которое вместе с паролем лежит в кукисах) на целевом сервере скрипт request.php , но так чтобы request.php думал, что его вызывают напрямую или по ссылке с его сервера. Насколько я понимаю, все дело в подмене Referer-a