Евгений

Я правильно понимаю, что у вас есть подключаемый виджет, из которого любой юзер БЕЗ авторизации может post'ить данные к вашему бэкенду и вы задаетесь вопросом как же сделать так, чтобы только из тех мест, где подключен виджет можно было постить, а из других нет?

Если я понял правильно, то может вам следует подумать о каком-то whitelist списке разрешенных ресурсов из которых можно постить?

Еще ожно было бы наверное запрашивать csrf токен у бэкенда при генерации самого виджета и при сабмите валидировать. Но кто тогда помешает стороннему "злоумышленнику" попросить таким же образом этот токен у бэкенда?

P.S. ну и соответственно как-то сам виджет неплохо бы авторизовывать. Можете посмотреть это на примере какого-нибудь подключаемого виждета комментариев, например disqus. Вы регистрируетесь в системе и помимо всего прочего вам выдают реквизиты, которые необходимы для подключения скрипта. Тем самым дискус всегда понимает что с вашего сайта, который вы зарегистрировали в системе, с вашими реквизитами, которые вам эта система выдала приходят валидные комментарии.

один из самых популярных плагинов всплывашек - fancybox fancybox.net

с виду всё верно. попробуйте посмотреть в сторону прав или путей, правильности названий.

$('#element').animate({width:'toggle'}, 350)

в определенное время - можно на крон повесить.
после определенного кол-ва заходов - это зависит от того как вы считаете заходы на страницу

готовый код не посоветую, могу только посоветовать по обучению ресурс htmlacademy.ru там как раз похожие вещи прикладные рассматриваются подробно, с теорией и практикой.

www.drupal.ru/node/108465

Проверьте права на картинках. один из стандартных вариантов 644

с данными знаниями конечно использовать cms. из того что не предлагали могу предложить shopscript и битрикс

либо уточните вопрос, либо, если я правильно понял вы хотите чтобы в textarea целиком отобразилась форма из вашего вопроса - то никак. а вообще зачем такое вам нужно?