ел ответы на подобные вопросы, но мне интересно, что в 2017 году, как лучше настроить CORS для S3 / CF, если я хочу ограничить законный доступ к * .domain.tld. Javascript загружается из CF и отображает веб-приложение с помощью Ajax-запросов к api.domain.tld.

<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    <CORSRule>
        <AllowedOrigin>*.domain.tld</AllowedOrigin>
        <AllowedMethod>GET</AllowedMethod>
        <AllowedMethod>HEAD</AllowedMethod>
        <AllowedMethod>OPTIONS</AllowedMethod>
        <MaxAgeSeconds>3000</MaxAgeSeconds>
        <AllowedHeader>*</AllowedHeader>
    </CORSRule>
</CORSConfiguration>

Что-нибудь еще, что я мог бы добавить, чтобы улучшить настройки CORS?