Innanzutotto includi un controllo di tipo file_exists() per non generare errori.
In secondo luogo l'oggetto XMLHTTPRequest invocato dalla funzione ha gli stessi privilegi dell'utente per cui se alcune pagine sono inaccessibili lo saranno anche all'oggetto. Detto questo non resta altro che rendere le pagine a cui non vuoi dare accesso private.
In aggiunta a ciò puoi anche controllare che $page non contenga determinati valori (ad es. "private/").