OLLAMA_ORIGINS 설정 통한 브라우저 CORS 차단 해결 및 보안 설계 분석

Context

Ollama API 서버가 기본적으로 CORS 헤더를 제공하지 않는 보안 정책을 채택한 구조임. 브라우저 기반 클라이언트의 Cross-Origin 요청 시 Preflight OPTIONS 요청에 대한 응답 부재로 API 호출이 차단되는 제약 발생.

Technical Solution

• OLLAMA_ORIGINS 환경 변수 설정을 통한 Access-Control-Allow-Origin 헤더 제어
• Wildcard("*") 설정을 통한 모든 도메인 허용 또는 콤마 구분 리스트를 통한 특정 Origin으로의 접근 범위 제한
• macOS launchctl 및 .zshrc 설정을 활용한 프로세스 수준 및 쉘 수준의 환경 변수 주입
• 보안성 확보를 위해 기본값으로 CORS를 차단하여 임의 웹페이지의 모델 로드/언로드 등 파괴적 작업 방지
• localhost 바인딩 상태에서 CORS 허용을 통해 외부 네트워크 노출 없이 로컬 개발 환경의 편의성 확보