Ausgangspunkt ist, dass das Bild nur angezeigt wird, wenn es in der übergeordneten Seite eingebettet ist.

Ja, das kannst Du entweder über die zugehörige Session oder den Referrer sicherstellen. Manipulierbar ist Beides.

Ein Aufruf, der anders aufgebaut ist, als in der Seite, also ohne S-Parameter, kommt offensichtlich ganz woanders her - nach meinem Verständnis illegal.

Das ist eine Frage der Policy. Also eine Frage ob man das will, ob man in einer Bildersuche berücksichtigt werden werden will oder nicht. MfG