Un'immagine può essere visualizzata tramite un'origine .php se la fonte ha un'intestazione corretta (come per la risposta a questa domanda).
Se un sito web consente something.php
come origine dell'immagine e visualizza l'immagine (come descritto sopra), è possibile includere un tipo di javascript in something.php
che verrà eseguito anche quando il sito di hosting recupera l'immagine? (Sembra che potrebbe aprire le cose a un possibile XSS)