Помимо использования @MvcHtmlString.Create(ViewBag.Stuff)
, как предложено Dommer, я предлагаю вам также использовать библиотеку AntiXSS , как предлагалось в качестве фила http://haacked.com/archive/2010/04/06 /using-antixss-as-the-default-encoder-for-asp-net.aspx
Он кодирует почти всю возможную строку атаки XSS.