3c4ebcd7d3
CORS-политика (allowedOriginPatterns:* + allowCredentials) переезжает в единый globalcors на pcp-gateway-service. После сворачивания фронта на gateway браузер ходит к бэкендам только через него (same-origin via Vite/nginx), поэтому per-service CORS в pcp-ui-service/WebConfig.kt стал мёртвым грузом. globalcors оставлен как страховка от cross-origin напрямую к gateway.