Razor会自动的将输出进行Html编码，可以帮助防止跨站点攻击。
如果有人将恶意脚本放进数据库，而Razor没有进行Html编码的话，浏览器就会看到一个<script>标签和可执行的JavaScript。