如何在 Go 语言中解压 tar.xz 格式压缩包

g

o 语言可通过组合 `archive/tar` 和第三方 xz 解压库（如 `github.com/xi2/xz`）原生解压 tar.xz 文件，无需依赖外部命令，全程纯 go 实现。

在 Go 生态中，标准库原生支持 .tar（archive/tar）和 .gz（compress/gzip），但不内置 .xz 解压能力。不过，得益于社区维护的高质量第三方库 —— github.com/xi2/xz，我们可轻松构建完整的 tar.xz 流式解压流程：先用 XZ 库解压缩字节流，再将解压后的数据交由 tar.Reader 解析归档结构，最后按文件类型（普通文件、目录等）逐项还原到磁盘。

以下是一个完整、健壮的解压示例：

package main

import (
    "archive/tar"
    "fmt"
    "io"
    "log"
    "os"
    "path/filepath"

    "github.com/xi2/xz"
)

func main() {
    f, err := os.Open("myfile.tar.xz")
    if err != nil {
        log.Fatal("打开压缩包失败:", err)
    }
    defer f.Close()

    // 创建 XZ 解压 Reader（第二个参数为线程数，0 表示自动选择）
    xzReader, err := xz.NewReader(f, 0)
    if err != nil {
        log.Fatal("初始化 XZ Reader 失败:", err)
    }

    // 将 XZ 流传入 tar.Reader
    tarReader := tar.NewReader(xzReader)

    // 遍历 tar 归档中的每个条目
    for {
        hdr, err := tarReader.Next()
        if err == io.EOF {
            break // 归档结束
        }
        if err != nil {
            log.Fatal("读取 tar 条目失败:", err)
        }

        // 安全处理路径：防止路径遍历攻击（如 ../etc/passwd）
        safePath := filepath.Clean(hdr.Name)
        if !filepath.IsAbs(safePath) && !strings.HasPrefix(safePath, ".."+string(filepath.Separator)) {
            switch hdr.Typeflag {
            case tar.TypeDir:
                fmt.Printf("创建目录: %s\n", safePath)
                if err := os.MkdirAll(safePath, 0755); err != nil {
                    log.Fatal("创建目录失败:", err)
                }
            case tar.TypeReg, tar.TypeRegA:
                fmt.Printf("提取文件: %s\n", safePath)
                // 确保父目录存在
                if err := os.MkdirAll(filepath.Dir(safePath), 0755); err != nil {
                    log.Fatal("创建父目录失败:", err)
                }
                outFile, err := os.Create(safePath)
                if err != nil {
                    log.Fatal("创建目标文件失败:", err)
                }
                if _, err := io.Copy(outFile, tarReader); err != nil {
                    outFile.Close()
                    log.Fatal("写入文件失败:", err)
                }
                outFile.Close()
            default:
                fmt.Printf("跳过非标准条目: %s (type: %d)\n", safePath, hdr.Typeflag)
            }
        } else {
            log.Printf("警告：跳过不安全路径 %q\n", hdr.Name)
        }
    }
}

✅ 关键要点说明：

• 流式处理：整个过程基于 io.Reader 链式传递（os.File → xz.Reader → tar.Reader），内存占用低，适合大文件；
• 安全性增强：使用 filepath.Clean() 和路径前缀校验，有效防御路径遍历（Path Traversal）漏洞；
• 错误处理：每步均检查错误并提供上下文提示，便于调试与运维；
• 权限与兼容性：目录默认使用 0755（兼顾安全与可执行需求），文件权限需额外从 hdr.FileInfo().Mode() 提取（本例未展开，实际项目中建议保留）；
• 依赖安装：运行前执行 go get github.com/xi2/xz 即可引入。

⚠️ 注意事项：

• github.com/xi2/xz 目前仅支持 LZMA1（即传统 .xz），不支持 LZMA2 的部分高级特性（但绝大多数 tar.xz 均兼容）；
• 若需支持 .txz 别名或自动识别格式，可封装 magic number 检测逻辑；
• 生产环境建议添加超时控制、解压大小限制及磁盘空间预检，避免 DoS 风险。

通过该方案，你可在任意支持 Go 的平台（Linux/macOS/Windows）上实现跨平台、零依赖、高可控的 tar.xz 解压能力。