在公共网站上显示 TCM ID 是否存在安全问题

我认为你在这里问错了问题。这些 SiteEdit 指令是否存在安全风险并不重要，它们只应存在于您使用 SiteEdit 的发布目标上。在任何其他目标上，它们只是不必要地增加大小并公开与该目标的访问者无关的实现细节。

因此，除非您在公共网站上启用 SiteEdit（极不可能），否则 SiteEdit 说明不应位于 HTML 中。

这取决于您需要的安全级别。原则上，您的安全性应该非常好，以至于您不依赖于"默默无闻的安全性"。你应该对每一个威胁进行建模，理解它，并设计坚不可摧的防御。

在现实生活中，这有点难以实现，重点更多地放在通常所说的"深度安全"上。换句话说，你尽最大努力拥有坚不可摧的防御，但如果一些简单的纪律会让你的攻击者更加困难，你一定要确保你也去做这个努力。有大量证据表明，任何攻击的第一步都是尝试枚举您正在使用的技术。然后，如果该技术有任何已知的漏洞，攻击者将尝试使用它们。此外，如果漏洞已知，攻击者将通过搜索受感染技术的签名来搜索潜在的受害者。

在面向公众的输出中公开 TCM URI 与告诉攻击者您正在使用 Tridion 一样好。因此，就此而言，正在公开SiteEdit代码。如果您使用 Tridion，则完全没有必要执行这些操作中的任何一项。您可以简单地显示一个网站，该网站不会提供有关其实现的线索。（对于许多选择WCMS的大型组织来说，避免提供这些线索的能力将是一个硬性要求，而Tridion在这方面的优势可能是您工作的组织选择使用它的原因之一。

因此，虽然 TCM URI 中没有任何内容本身会导致安全问题，但它不必要地向潜在攻击者提供信息，所以是的，这是一个安全问题。金融机构、政府组织和一般的大公司都会希望你做一个干净的实施，不给坏人任何帮助。

我认为

它并没有真正提出问题。如果防火墙中存在可以突破的漏洞，攻击者可能会找到一种方法来通过。防火墙后面有一个Tridion CMS安装的事实有些无关紧要。

无论您的源代码中是否有 URI，您的实现都应该得到足够好的保护，以至于通过知道您拥有 Tridion CMS 获得的知识对黑客来说毫无价值。