Go中压缩需手动设置zip.FileHeader的Name和ModTime,避免路径错误与时间戳异常;tar需设Typeflag区分文件类型;ZIP与GZIP不可混用;解压时须校验Name防路径遍历。
压缩单个文件到 ZIP 时,zip.FileHeader 的 ModTime 和 Name 必须手动设置
Go 的 archive/zip 不会自动从源文件读取修改时间或补全路径,直接写入会导致 ZIP 中文件时间戳为零值、名称含冗余路径(如 ./data.txt),解压后可能乱序或权限异常。
实操建议:
-
Name字段需用filepath.Base()或显式指定相对路径,避免绝对路径(如/home/user/file.txt)——ZIP 规范不支持,某些解压工具会静默失败 -
ModTime应从os.Stat()获取,否则默认是time.Time{},Windows 解压器可能显示“1980-01-01” - 若要保留目录结构,
Name写成"subdir/file.txt"即可,无需额外创建目录项
file, _ := os.Open("input.txt")
info, _ := file.Stat()
header, _ := zip.FileHeaderFromFileInfo(info)
header.Name = "input.txt" // 关键:不能留 ./ 或 /
header.ModTime = info.ModTime()
writer, _ := zipWriter.CreateHeader(header)
io.Copy(writer, file)
用 archive/tar 打包目录时,必须递归遍历并手动设置 Header.Typeflag
tar 格式本身不包含“目录打包”语义,它靠 Header.Typeflag 区分普通文件、目录、符号链接等。漏设或错设会导致解包失败(如把目录当成文件读取,报 read: is a directory)。
常见错误现象:打包后 tar 文件能生成,但 tar -xvf 提示 Cannot open: Not a directory 或跳过整个子目录。
立即学习“go语言免费学习笔记(深入)”;
实操建议:
- 对每个
os.FileInfo,用fi.IsDir()判断,设Header.Typeflag = tar.TypeDir(非tar.TypeReg) - 目录的
Header.Size必须为 0;文件则必须设为真实字节数,否则解包会卡住或截断 - 路径分隔符统一用
/(即使在 Windows 上),tar规范不认\
if fi.IsDir() {
header.Typeflag = tar.TypeDir
header.Size = 0
} else {
header.Typeflag = tar.TypeReg
header.Size = fi.Size()
}
header.Name = strings.ReplaceAll(filePath, "\\", "/") // 强制转斜杠
gzip.Writer 和 zip.Writer 不能混用:ZIP 内置压缩,GZIP 是流式封装
新手常误以为 “ZIP 就是 GZIP”,试图用 gzip.NewWriter(zipFile) 套娃压缩,结果生成的是无效 ZIP(实际是纯 GZIP 流),unzip 直接报 End-of-central-directory signature not found。
使用场景区分:
-
archive/zip+zip.FileHeader.SetMode()→ 适合多文件、需目录结构、跨平台解压(Windows/macOS/Linux 原生支持) -
archive/tar+gzip.NewWriter()→ 适合单归档+高压缩比,常用于 Linux 发布包(.tar.gz),但需额外依赖gzip工具解压 - 不要对 ZIP 文件再套 GZIP —— ZIP 本身已含 DEFLATE 压缩,再压无意义且破坏格式
解压 ZIP 时忽略目录遍历攻击(../../../etc/passwd)必须校验 Header.Name
恶意 ZIP 文件可在 Name 中嵌入 ../ 路径,导致 ExtractFile 写入系统敏感位置。Go 标准库不拦截,完全交由调用者防护。
关键检查点:
- 用
strings.HasPrefix(header.Name, "../")或更严格地!strings.HasPrefix(filepath.Clean(header.Name), ".") - 禁止
filepath.IsAbs(header.Name)—— ZIP 中不该有绝对路径 - 提取目标路径应基于固定根目录拼接:
filepath.Join(destDir, filepath.Clean(header.Name)),两次Clean防绕过
没做这步,本地测试正常,上线后一个恶意 ZIP 就可能覆盖配置文件或执行脚本。
