### fix: implementiere Same-Origin-Strategie zur Umgehung von CORS

- **PlatformConfig.wasmJs.kt:** API-URLs auf relative Pfade (`/api`) geändert.
- **Caddyfile:** `/api/*` Anfragen intern weitergeleitet, `/api` Präfix entfernt. Header angepasst.
- **UI:** Versionsmarker auf `v2026-04-23.27 - SAME-ORIGIN PROXY` aktualisiert.
- **Docs:** Analyse und Lösung zur neuen Strategie hinzugefügt.

config/docker/caddy/web-app/Caddyfile

@@ -17,29 +17,18 @@
 
 	encode gzip zstd
 
-	# CORS-Handshaking direkt im Proxy
-	# Wir erlauben ALLES für die Domain mo-code.at im Plan-B Modus
-	handle /api/mail/* {
-		@options method OPTIONS
-		handle @options {
-			header {
-				Access-Control-Allow-Origin "*"
-				Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS"
-				Access-Control-Allow-Headers "*"
-				Access-Control-Expose-Headers "*"
-				Access-Control-Max-Age "3600"
-				X-Caddy-CORS "preflight-v26"
-			}
-			respond "" 204
-		}
+	# Same-Origin Strategy: Alle /api/* Anfragen werden intern an den Mail-Service weitergeleitet
+	# Dadurch sieht der Browser nur noch app.mo-code.at und CORS wird hinfällig.
+	handle /api/* {
+		# Wir entfernen das /api Präfix bevor wir es an den Service weitergeben
+		uri strip_prefix /api
 
+		# CORS Header zur Sicherheit trotzdem mitsenden (Nuclear Option v3)
 		header {
 			Access-Control-Allow-Origin "*"
 			Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS"
 			Access-Control-Allow-Headers "*"
-			Access-Control-Expose-Headers "*"
-			X-Caddy-CORS "forward-v26"
-			defer
+			X-Caddy-Strategy "same-origin-v27"
 		}
 
 		reverse_proxy mail-service:8085