S3のCORS AllowedOriginsは末尾スラッシュつけちゃダメ
preflight requestがコケる時にチェックすると良いかも
originなんだからそうだろうといえばそうだが
{ "AllowedOrigins": ["https://*.example.com/"] }とすると正しく動かない
{ "AllowedOrigins": ["https://*.example.com"] }にすれば動く。
上記の設定にしていても、単に許可されていないoriginからアクセスした時と同じ挙動になるだけ(preflight requestで失敗する)なので気付きづらい。要注意。