Vi as respostas para perguntas semelhantes, mas estou imaginando que, em 2017, qual é a melhor maneira de configurar o CORS para S3 / CF se eu quiser restringir o acesso legítimo ao * .domain.tld. O Javascript está sendo carregado do CF e renderiza um aplicativo Web usando solicitações do Ajax para api.domain.tld.

<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
    <CORSRule>
        <AllowedOrigin>*.domain.tld</AllowedOrigin>
        <AllowedMethod>GET</AllowedMethod>
        <AllowedMethod>HEAD</AllowedMethod>
        <AllowedMethod>OPTIONS</AllowedMethod>
        <MaxAgeSeconds>3000</MaxAgeSeconds>
        <AllowedHeader>*</AllowedHeader>
    </CORSRule>
</CORSConfiguration>

Há mais alguma coisa que eu poderia adicionar para melhorar as configurações do CORS?