¿Cuál es la configuración CORS recomendada para alojar Javascript en S3 / CF?
He visto las respuestas a preguntas similares, pero me pregunto si en 2017 cuál es la mejor forma de configurar CORS para S3 / CF si quisiera restringir el acceso legítimo a * .domain.tld. El Javascript se está cargando desde CF y representa una aplicación web que utiliza solicitudes Ajax para api.domain.tld.
<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<CORSRule>
<AllowedOrigin>*.domain.tld</AllowedOrigin>
<AllowedMethod>GET</AllowedMethod>
<AllowedMethod>HEAD</AllowedMethod>
<AllowedMethod>OPTIONS</AllowedMethod>
<MaxAgeSeconds>3000</MaxAgeSeconds>
<AllowedHeader>*</AllowedHeader>
</CORSRule>
</CORSConfiguration>
¿Hay algo más que pueda agregar para mejorar la configuración de CORS?