AUser0

Если сервер работает только по доменным именам (которые злоумышленникам неизвестны), а на неправильное доменное имя выдаёт ошибку - то да, можно сказать что защищено.

Но если злоумышленник каким-то образом доменное имя всё-таки узнает - то что произойдёт с такой защитой? А ведь браузеры, при обращении к внешним документам/картинкам передают REFERER, с доменным именем в нём. Упс...

Это в принципе один из стандартных способов вернуть авторизующегося пользователя именно на ту страницу, с которой он начал авторизацию. Ну то есть на сайте-магазине пользователь вошёл на главную, сделал поиск, нашел нужный товар - а потом решил авторизоваться (для управления заказоми и корзиной). И вот что-бы вернуть его на страницу именно товара - URL страницы и засовывается в return_to или аналогичное.

А знак процента с двумя цифро-буквами - это способ передачи некоторых URL-ых символов (например двоеточие : %3A, и косую черту / %2F) внутри URL.