我应该总是使用<%:而不是<%=

<%: 是ASP.NET中的一个特殊标记，用于对输出进行HTML编码，以防止跨站点脚本攻击（XSS）。它会自动对输出进行编码，确保在将数据呈现到浏览器时，特殊字符不会被解释为HTML标签或脚本。

<%= 是ASP.NET中的另一个特殊标记，用于将表达式的结果直接输出到页面上。它不会对输出进行HTML编码，因此如果表达式的结果包含HTML标签或脚本，它们将被解释并执行。

在大多数情况下，我们应该使用<%: 而不是<%= 来确保输出的安全性。通过使用<%:，我们可以防止XSS攻击，因为它会自动对输出进行HTML编码。这样可以确保用户输入的内容不会被解释为HTML标签或脚本，从而保护网站的安全性。

然而，在某些特殊情况下，我们可能需要使用<%= 来输出不需要进行HTML编码的内容。例如，如果我们想要在页面上显示一段HTML代码或者已经对输出进行了手动的HTML编码，那么我们可以使用<%= 来输出原始的HTML内容。

总结起来，<%: 应该总是优先使用，以确保输出的安全性。只有在特殊情况下，我们才需要使用<%= 来输出原始的HTML内容。