Si no puedes usar código PHP para restringir la sesión entonces es imposible.
Es decir, si tu sistema de permisos está basado en sesiones de PHP creo que la respuesta es obvia.
Saca los archivos de ahí, que jamás sean accesibles públicamente.
Entonces usa un script de acceso únicamente, que ahí verifique la sesión, y que te permite acceder dichos archivos leyéndolos:
Código PHP:
Ver original// script.php?file=1.html
readfile('/ruta/absoluta/pero/no/publica/1.html');
¿Se entiende?