SV, Можно же заголовки подменить . что кстати в том же dcms прокатывает (как пример) .подробности с dcms'ом не вспомню ,но пару лет назад на форуме описывали мои пользователи .как провести и устранить . ну от подобного можно избавится банально проверив содержимое картинки . думаю проще поискать готовые решения . у меня к примеру для этого простенький класс ,если даже картинка содержала бы что-то ,оно стало бы безобидное после загрузки .

SV, при большом желание xss можно провести и через картинку , а вообще можешь заюзать готовое решение с кэшэм . выдерни из релиза фиеры обработку тега img

SV, создаёшь на сайте свой модуль картинок
перед загрузкой проверяешь наличии того картинка это или нет (и т.п)

на выходе ты получаешь чистую картинку которую не нужно будет проверять через getimagesize и т.п что жаст возможность кучу картинок на странице выгружать .

Загружать могут как юзеры так и админы . лучше всего что бы был шаблон готовых картинок .если всё таки юзеры будут загружать то можно удалять картинки которым более 90 дней(к примеру)

Если проектов можно, то можно сделать мини сервис который будет в качестве статики графики . рецепт тот же что и выше . я бы ещё себе api для этого запилил .

Ren™, не называл бы я веник крупным сайтом

Не один крупный сайт некогда не даст возможность ставить прямые ссылки на картинки .из чего можно сделать вывод по сути.
Кэшировать и не как иначе . кэшировать желательно через curl . конечно же с хранением картинок у себя на сервере. .первичный запрос будет не самый быстрый .
----------
От меня совет: не нужен на сайте такой тег. хочешь картинки ,пускай грузят к тебе на сайт .