如何在 Go 中解压 tar.xz 压缩包

go 语言原生支持 tar 格式，结合第三方 xz 解压库（如 github.com/xi2/xz），可完全使用纯 go 代码实现 tar.xz 文件的无依赖解压。

在 Go 生态中，标准库 archive/tar 提供了完整的 tar 归档读取能力，但不支持 .xz 压缩层；而 .tar.xz 实质是「XZ 压缩的 TAR 流」，因此需先解压 XZ，再解析 TAR。幸运的是，xi2/xz 是一个成熟、轻量且纯 Go 实现的 XZ 解压库（基于 LZMA2 算法），无需 CGO 或外部依赖，完美适配跨平台构建。

以下是一个完整、健壮的解压示例：

package main

import (
    "archive/tar"
    "fmt"
    "io"
    "log"
    "os"
    "path/filepath"

    "github.com/xi2/xz"
)

func main() {
    f, err := os.Open("myfile.tar.xz")
    if err != nil {
        log.Fatal("无法打开压缩包:", err)
    }
    defer f.Close()

    // 创建 XZ 解压 Reader（第二个参数为字典大小，0 表示自动探测）
    xzReader, err := xz.NewReader(f, 0)
    if err != nil {
        log.Fatal("XZ 解压初始化失败:", err)
    }

    // 将 XZ 流传递给 tar.Reader
    tarReader := tar.NewReader(xzReader)

    // 遍历 tar 中每个条目
    for {
        hdr, err := tarReader.Next()
        if err == io.EOF {
            break // 归档结束
        }
        if err != nil {
            log.Fatal("读取 tar 条目失败:", err)
        }

        // 安全校验：防止路径遍历攻击（关键防护！）
        if !isSafePath(hdr.Name) {
            log.Fatal("拒绝危险路径:", hdr.Name)
        }

        switch hdr.Typeflag {
        case tar.TypeDir:
            fmt.Println("创建目录:", hdr.Name)
            if err := os.MkdirAll(hdr.Name, os.FileMode(hdr.Mode)); err != nil {
                log.Fatal("创建目录失败:", err)
            }

        case tar.TypeReg, tar.TypeRegA:
            fmt.Println("解压文件:", hdr.Name)
            // 确保父目录存在
            if err := os.MkdirAll(filepath.Dir(hdr.Name), 0755); err != nil {
                log.Fatal("创建父目录失败:", err)
            }
            outFile, err := os.Create(hdr.Name)
            if err != nil {
                log.Fatal("创建文件失败:", err)
            }
            if _, err := io.Copy(outFile, tarReader); err != nil {
                outFile.Close()
                log.Fatal("写入文件失败:", err)
            }
            outFile.Close()

            // 恢复原始权限（tar.Header.Mode 包含权限信息）
            if err := os.Chmod(hdr.Name, os.FileMode(hdr.Mode)); err != nil {
                log.Printf("警告：设置权限失败 %s: %v", hdr.Name, err)
            }

        default:
            fmt.Printf("跳过非标准类型条目: %s (type: %d)\n", hdr.Name, hdr.Typeflag)
        }
    }
}

// isSafePath 检查路径是否安全，防止 ../ 路径遍历
func isSafePath(path string) bool {
    if filepath.IsAbs(path) {
        return false
    }
    clean := filepath.Clean(path)
    return !strings.HasPrefix(clean, ".."+string(filepath.Separator)) &&
           clean != ".."
}

⚠️ 重要注意事项：

Orz企业网站管理系统 双语版

Orz企业网站管理系统整合了企业网站所需要的大部分功能，并在其基础上做了双语美化。压缩包内有必须的图片psd源文件，方便大家修改。 Orz企业网站管理系统功能： 1.动态首页 2.中英文双语同后台管理 3.产品具有询价功能 4.留言板功能 5.动态营销网络 6.打印功能 7.双击自动滚动 Orz企业网站管理系统安装 1、请将官方程序包解压后上传至您的虚拟主机即可正常使用； 2、后台管理面板登录：

下载

• 路径安全第一：务必校验 hdr.Name，避免 ../etc/passwd 类路径遍历漏洞（示例中已内置 isSafePath 函数）；
• 权限还原：tar.Header.Mode 包含 Unix 权限位，建议调用 os.Chmod 恢复（Windows 下忽略）；
• 错误处理：生产环境应区分 io.EOF 和真实错误，并考虑资源清理（如 defer f.Close()）；
• 内存友好：该方案流式处理，不将整个归档加载到内存，适合大文件；
• 兼容性：xi2/xz 支持 .xz 和 .lzma，但不支持 .txz 别名自动识别（需确保文件扩展名为 .tar.xz）。

总结：借助 archive/tar + github.com/xi2/xz，Go 可以简洁、安全、高效地完成 tar.xz 解压任务，无需 shell 调用或 cgo 依赖，是构建跨平台归档工具的理想选择。