В upload.php в самом конце сделайте редирект на эту же страницу:

//определяем протокол - HTTP/HTTPS
$proto = (!empty($_SERVER['HTTPS']) && $_SERVER['HTTPS'] != 'off')? 'https': 'http';
//шлем заголовок для "обновления" страницы без пересылки формы.
//все последующие "ручные" обновления страницы будут происходить без отправки формы
header('Location: ' . $proto . '://' . $_SERVER['HTTP_HOST'] . '/' . $_SERVER['REQUEST_URI']);
exit;

Вообще, это "best practice", перебрасывать редиректом после обработки формы, если не было ошибок при сохранении формы.
Exit в конце прерывает выполнение остального кода.

Там JS не нужен по большому счету. Минимум CSS, старый добрый HTML, и PHP, который составляет 95% функциональности подобной подсистемы.
Конфигурация отправляется из полей POST-запросами и сохраняется обычно в файлы, реже в БД. Почему реже? Потому, что системы настройки обычно настраивают так же и сам доступ к БД.
Так же из РНР обычно и генерируются input-поля с уже заполненными value.
Чтобы с непривычки не мучаться с импортами-экспортами-инклюдами конфигурационных файлов, рекомендую использовать JSON - это дёшево и сердито:

$config = json_decode(file_get_contents(__DIR__ . '/.config'), true); //читаем конфиги
//...
file_put_contents(json_encode($config), __DIR__ . '/.config'); //пишем конфиги

В данном примере .config - с точкой вначале, чтобы конфиги нельзя было открыть и прочитать из браузера - ведь это конфиденциальные данные. `__DIR__` - это магическая константа, путь к папке скрипта, в котором она использована.
Сохранять конфиги можно как угодно иначе, главное, чтобы они были недоступны из web.
Так же вам нужно предусмотреть элементарную безопасность: фильтрацию данных, полученных от пользователя.
Резюмируя, чтобы написать минимальный конфигуратор на РНР, нужно проштудировать информацию о:
json_encode / json_decode
file_get_contents / file_put_contents
htmlspecialchars / strip_tags / preg_match / filter_input

HTML и CSS, как я понимаю, вы уже и так успешно пользуетесь.

Как выяснилось, из соображений безопасности браузеры не делятся с веб-разработчиками причинами блокировок запросов, но с низкой точностью и по косвенным признакам причину ошибки все же можно определить:

const url = 'some url';
try {
      const response = await fetch(url);
      //.....
} catch {
      if (url.startsWith('http:')) {
        console.log(`It's may be a mixed content error`);
      } else {
        try {
          await fetch(url, {'mode':'no-cors'}); //если ресурс доступен, то ошибки не будет
          console.log(`It's may be a CORS error`);
        } catch {
          console.log('Other error');
        }
      }
}

Применяя это решение где-либо, имейте в виду, что этот способ не дает 100% точный ответ, является ли ошибка CORS или нет.