Una imagen se puede mostrar a través de una fuente .php si la fuente tiene un encabezado adecuado (según la respuesta a esta pregunta).
Si un sitio web permite something.php
como fuente de imagen y muestra la imagen (como se describe anteriormente), ¿es posible incluir algún tipo de javascript en something.php
que también se ejecutará cuando el sitio de alojamiento recupere la imagen? (Esto parece que podría abrir las cosas a un posible XSS)