Amazon S3 は、バケットごとに CORS サポートを有効にする方法を提供します。ただし、デフォルトでは、CORS は無効になっています。
私の S3 バケットでワイルドカード CORS を有効にすることに関連する単一のセキュリティ リスクは考えられませんが、おそらく少なくとも何らかの危険があるに違いありません。信頼するドメインを正確に指定します。
<AllowedOrigin>*</AllowedOrigin>すべてのバケットに設定したくないエクスプロイトまたはその他の理由を誰かが説明できますか?
ウィキペディアから:
Access-Control-Allow-Origin: *これは一般的に適切ではありません。これが適切な唯一のケースは、ページまたは API 応答が完全にパブリック コンテンツと見なされ、すべてのサイトのコードを含むすべての人がアクセスできるようになっている場合です。
CORS を使用する必要があるが、ワイルドカードの使用を避ける必要がある例を次に示します。AJAX を使用して (別の URL でホストされている) アプリからアクセスする必要があるコンテンツを S3 に保存しますが、それを作成したくありません。他のサイトで公開されているコンテンツ (たとえば、アプリのデータの一部を保存する HTML または JSON ファイル。これらのファイルは他のサイトからは利用できないはずです)。
AJAX を使用して他のサイトから S3 バケットにコンテンツをアップロードする可能性など、他のシナリオもあります。