Ответ 1
Я нашел отличное сообщение в блоге от Амира Исмаила, в котором рассматриваются все ваши проблемы. http://miroprocessordev.blogspot.com/2012/03/save-aspnet-mvc-application-against.html
Подводя итог тому, что он пишет.
Razor кодируется по умолчанию, если не используется Html.Raw.
Html.AntiForgeryToken() может использоваться для создания случайного токена, который будет защищать от CSRF, но он требует, чтобы пользователь принимал файлы cookie.