Есть ли способ избежать использования xss <%=Model.data%> на странице aspx?
<%=Model.data%>
Да, всегда кодировать вывод:
<%: Model.data%>
Обратите внимание на : вместо =
:
=