Un sandbox es un entorno donde puedes realizar peticiones de cobro sin que realmente se produzcan, para poder hacer las pruebas de integración de tu aplicación con su API.

Para realizar pagos seguros el funcionamiento es como el que te ha dicho xfxstudios: tu has de redireccionar obligatoriamente a una página del banco y después ellos redireccionarán a la página de callback que hayas definido.

También está el pago no seguro. En ese caso no tienes porque salir de tu página. Haces un formulario en tu propia web solicitando los datos del titular (nombre, nº tarjeta y caducidad) y pides el número que hay detrás de la tarjeta. Eso se envía encriptado (en su documentación te explicaban como) a un webservice de redsys.

Has de entender la diferencia entra pago seguro y no seguro. Uno no seguro el usuario te lo puede cancelar a posteriori y si no recuerdo mal tenía hasta 3 meses. Es decir, puede subir un producto en tu página, venderlo y luego cancelar el pago que te hizo a ti.

P.D.: El controlar que no pueda volver atrás es algo que tendrás que vigilar tú. Piensa en la peor situación posible para saber si estas preparado para controlarla porque llegará el día que suceda. Por ejemplo, el usuario paga y mientras se está redireccionando del banco a tu página, se le cierra el navegador. Que harás en ese caso? El usuario ha pagado pero como no ha vuelto de la web del banco es posible que tu no tengas la notificación... En fin, hay mil situaciones del estilo. Lo que menos te ha de preocupar es el botón de volver atrás que se puede "desactivar" con JavaScript, créeme que hay cosas peores xS