CloudfrontでAccess-Control-Allow-Originを設定する

これは、受け入れられた回答が示すよりも少し複雑です。

Cloudfront + S3を使用する場合のCORSサポートは実際にはS3に実装されており、Amazonによると次のように機能します。

リクエストのOriginヘッダーは、AllowedOrigin要素と一致する必要があります。

プリフライトOPTIONSリクエストがAllowedMethod要素の1つでなければならない場合のリクエストメソッド（たとえば、GETまたはPUT）またはAccess-Control Request-Methodヘッダー。

プリフライトリクエストのリクエストのAccess-Control-Request-Headersヘッダーにリストされているすべてのヘッダーは、AllowedHeader要素と一致する必要があります。

これは理にかなっています。クライアントからOriginヘッダーが送信されない場合、この処理はまったく行われないことは明らかではありません。また、前にCloudfrontを使用しているため、静的なアセットをホストしているだけであれば、キャッシュ時にすべてのヘッダーを無視するように設定されている可能性があります。したがって、特定のEdgeノードからの各ファイルへの最初の要求にOriginヘッダーが含まれていない場合、Access-Control-Allow-Originヘッダーなしで応答がキャッシュされます。

その結果、最初の着信要求は、キャッシュが期限切れになるまで、すべての要求に対して返されるヘッダーを決定します。

これを修正/回避するにはいくつかの方法があります。

• 「Origin」ヘッダーに基づいて条件付きキャッシュを実行するようにcloudfrontをセットアップします。

少数または単一のOriginのみを想定している場合、これは正常に機能しますが、それ以外の場合、キャッシュ率は本当に悪くなる可能性があります。

• Lambda @ Edgeを使用してヘッダーを強制的に設定します。これは、Origin（S3）リクエストごとに1回だけ実行できます。

完全に柔軟ですが、オーバーヘッドとコストが追加されます。

• すべてのリクエストでcloudfrontが「Origin」ヘッダーをダミー値に上書きするようにします。

これは、「Access-Control-Allow-Origin：*」の場合にのみ非常に役立ち、ちょっとしたハックですが、cloudfront + S3で静的アセットをホストする場合は、おそらく現在のところ最高のソリューションです。