Таблица лидеров

Нет не на уровне сервера. Это делает внутренний блокировщик DLE потенциально опасных параметров, потому как в параметрах обнаружены потенциально опасные параметры. А в первом запрсосе ничего потенциально опасного нет. А во втором в параметрах передается имя PHP файла, DLE так не делает никогда, поэтому считает такой параметр небезопасным и автоматически блокирует все. Реферал это параметр который посылает сам клиент обращающийся к серверу, а не сервером автоматически формируется. Поэтому он может быть подделан и быть каким угодно. Считать его всегда корректным нельзя. Он корректен если

Это вообще адрес обращения к стороннему ПО, а не к DLE. Для DLE такой адрес ничего не значит совершенно. Соответственно если нет стороннего ПО, то это не несет никакой угрозы, если есть какое то стороннее ПО, то возможно это попытка внедрится в DLE.

В VK этот Redirect URI нужно оставить пустым, а только указать корректно базовый домен