Qual é a configuração CORS recomendada para hospedagem de Javascript no S3 / CF?
Vi as respostas para perguntas semelhantes, mas estou imaginando que, em 2017, qual é a melhor maneira de configurar o CORS para S3 / CF se eu quiser restringir o acesso legítimo ao * .domain.tld. O Javascript está sendo carregado do CF e renderiza um aplicativo Web usando solicitações do Ajax para api.domain.tld.
<?xml version="1.0" encoding="UTF-8"?>
<CORSConfiguration xmlns="http://s3.amazonaws.com/doc/2006-03-01/">
<CORSRule>
<AllowedOrigin>*.domain.tld</AllowedOrigin>
<AllowedMethod>GET</AllowedMethod>
<AllowedMethod>HEAD</AllowedMethod>
<AllowedMethod>OPTIONS</AllowedMethod>
<MaxAgeSeconds>3000</MaxAgeSeconds>
<AllowedHeader>*</AllowedHeader>
</CORSRule>
</CORSConfiguration>
Há mais alguma coisa que eu poderia adicionar para melhorar as configurações do CORS?