Как предотвратить внедрение XSS, позволяя пользователям публиковать внешние изображения

Пользователь недавно сообщил мне, что может использовать тег BBCode [img ], который был доступен им на форумах.

[img = http: //url.to.external.file.ext] [img]

Конечно, оно будет отображаться как неработающее изображение, однако браузер получит файл оттуда . Я сам протестировал его, и, конечно же, он был законным.

Я не уверен, как предотвратить этот тип XSS-инъекции, кроме загрузки изображения и проверки его подлинности через PHP. Этим легко можно злоупотребить с безумно огромным файлом.

Есть ли другие решения для этого?