Da hast Du wohl einen Fehler gemacht darky1. Diese Angriffsstrategie wird täglich von vielen Fieslingen erfolgreich angewandt und ich konnte in einem Testsystem deren Wirksamkeit reproduzieren.

Besonders frage ich mich, warum Du da JS-Kram in der URL hast.
Wenn Du JS willst, musst Du statt "img" "script" nehmen und dann gehört aber der Code trotzdem nicht in die URL, sondern in das angelinkte Script.