mein Problem ist wie schütze ich meine Seite wenn sie einer über den IMG Tag einbindet?

Wieso sollte jemand eine "Seite" in einem <img>-Element darstellen wollen (mal abgesehen davon, dass das vermutlich gar nicht funktionieren würde)?

Natürlich funktioniert das - es wird dann natürlich kein Bild angezeigt, schon gar nicht eines der angegebenen Seite. Aber der Browser lädt die Seite herunter und erzeugt damit Load bei dem Server. Er merkt dann zwar, dass die zurückgegebene Ressource kein Bild ist, sondern ein HTML-Dokument, aber Anfrage & Antwort wurden bereits übertragen. Genauso, als ob der Benutzer die Seite normal angesurft hätte. Freilich werden weitere Bilder darin sowie Stylesheets und Scripte nicht geladen.
Wenn man einen fremden Server mit sinnlosen Anfragen beschießen will, dann eignet sich so ein img-Element auf einer hochfrequentierten Site hervorragend für Distributed Denial of Service.

Mathias