На сайте партнера наши фото, а мы можем узнать от куда у него траф?

да, по "вектору" SeVlad

ведь то что ПС не получает по картинке рефера, это не значит что его не получить, просто там нет "прокладки" в виде страницы со скриптом.

Если я верно понял SeVlad, то схема такая  - грузится страница со скриптом, в базу (или куда надо) отдается (пишется) рефер, грузится картинка которая должна была загрузиться на сайте партнера.

Вы бредите. Реф к картинке передает только адрес страницы на которой картинка.

Нельзя инжектировать скрипт через атрибут src к тегу img. Вообще никак, даже через SVG. Хотя SVG формально поддерживает эмбеддинг скриптов, такая поддержка специально отключена в случае загрузки SVG изображения через атрибут src тега img.

Так это я понимаю. Речь была про получение рефа не через картинку, а через урл со скриптом. А потом уже её , картинку, грузить.

А вот это печально. Но можно и не переходить на хамство

Приблизительно в 2016 году работало инжектирование скриптов через SVG файлы в обработчиках евентов onclick onmouseover и тому подобное. Когда это просекли, это посчитали серьезной уязвимостью и пофиксли. Но если вдруг у кого браузер не обновился с 2016 года... у него сработает. Хотя сейчас в основном у всех браузеров автообновление потому рассчитывать особо не на что.

Во первых никто не говорил про такое инжектированние. Речь была о об обработке mime на сервере. Такое иногда делается для подмены напр. webp на jpg для старых UA. Или для других целей.

Во вторых - технически можно. Но это будет восприниматься как вирус. Помню как давно чистил сайт клиента от вирей - так там именно в картинку (в jpg) был прописан html. Это было видно если открыть картинку текстовым редактором. А отображалась как нормальная картина.