做网页开发时，允许用户输入url图片地址来作为自己的头像有什么风险？

02年03年流行各种bbs的时候，ie浏览器没有跨域限制，我写了个asp页面，要求浏览器验证输入用户名和密码，然后将该页面设为我的头像，到处发帖，很多人不知情直接输入了自己论坛的账号登陆信息，当年搜集了不少密码，还经常登录别人论坛和邮箱看私信邮件，偷窥欲被极大的满足了。

。