Лучше юзайте rewrite, ибо с return можно поймать CRLF
Если будет в конфиге присутствовать конструкция вида
location / {
return 302
https://$host$uri;
}
То при переходе по ссылке вида
https://example.com/CRLF%0d%0aSet-Cookie:%20BUG%3dHi, юзеру злоумышленник внедрит произвольный header
Это довольно часто встречающийся баг