ещё один.. указывая в .htaccess AddType application/x-httpd-php .png ты всего лишь указываешь серверу обрабатывать файлы .png как php, затем в «картинке» нужно написать свой «ядовитый» код но в качестве принимающей стороны, тоесть на php, а не js. что-то вроде

а жертве передать уже свой js со ссылкой на этот файл, где через гет переменную с передать document.cookie. а передать просто файл в котором у тебя написан твой js не прокатит, так как внутри него ты будешь пытаться записать cookie с того же домена на котором он расположен.