<%:%>相当于Html.Encode()
public ActionResult HtmlEncodeDemo()
{
ViewData["strscript"] = "<script>alert('demo');</script>";
return View();
}
<%= ViewData["strscript"]%> //<script>alert('demo');</script>
<%: ViewData["strscript"]%> //弹出一个提示框
<%: Html.Raw("<p>我是一个Html.Raw!</p>")%> //输出一行:我是一个Html.Raw!
<%: new HtmlString("<p>我是一个Html.Raw!</p>")%> //输出一行:我是一个Html.Raw!
<%: new MvcHtmlString("<p>我是一个Html.Raw!</p>")%> //输出一行:我是一个Html.Raw!
应尽量使用<%:%>,而不是<%= %>,不安全