Guten Morgen,

ja, muss man. Wie du schon festgestellt hast wird die Datei, die vom Eintrag in diesem input-Feld bezeichnet wird beim Abschicken an den Server übermittelt. Es stellt also ein großes Sicherheitsrisiko dar, wenn jemand von extern den Wert dieses Feldes ändern könnte. Die Konvention lautet also, dass die value-Eigenschaft des Feldes sowohl in HTML als auch in JavaScript nicht geändert werden kann. Ebenso gibt es zahlreiche Beschränkungen beim Layout, so dass du dem Benutzer nicht ein anders geartetes Eingabefeld vorgaukeln kannst.
Man stelle sich nur vor was passiert, wenn du dort ein Formular hast, das automatisch c:\passworts.txt (fiktives Beispiel) einträgt und das Formular per JS abschickt...

MfG
Rouven