如何在 Go 中解压 tar.xz 归档文件

go 原生支持 tar 格式，但不内置 xz 解压缩能力；借助第三方库 `github.com/xi2/xz`，可纯 go 实现 tar.xz 文件的流式解压，无需调用外部命令。

在 Go 中解压 .tar.xz 文件是一个典型的“多层流式解包”场景：外层是 xz 压缩，内层是 tar 归档。Go 标准库提供了强大的 archive/tar 和 io 工具，而 github.com/xi2/xz 库则填补了 xz 解码的空白，二者组合即可实现完全由 Go 编写的、跨平台、无依赖的解压逻辑。

以下是一个完整、健壮的解压示例（已适配 Go 1.16+）：

a0.dev

专为移动端应用开发设计的AI编程平台

下载

package main

import (
    "archive/tar"
    "fmt"
    "io"
    "log"
    "os"
    "path/filepath"

    "github.com/xi2/xz"
)

func main() {
    f, err := os.Open("myfile.tar.xz")
    if err != nil {
        log.Fatal("无法打开归档文件:", err)
    }
    defer f.Close()

    // 创建 xz 解压缩 Reader（第二个参数为线程数，0 表示自动选择）
    xzReader, err := xz.NewReader(f, 0)
    if err != nil {
        log.Fatal("xz 解压初始化失败:", err)
    }

    // 将 xz 流传递给 tar.Reader
    tarReader := tar.NewReader(xzReader)

    // 遍历 tar 归档中的每个条目
    for {
        hdr, err := tarReader.Next()
        if err == io.EOF {
            break // 归档结束
        }
        if err != nil {
            log.Fatal("读取 tar 条目失败:", err)
        }

        // 安全检查：防止路径遍历攻击（关键！）
        if !isSafePath(hdr.Name) {
            log.Fatal("拒绝不安全路径:", hdr.Name)
        }

        switch hdr.Typeflag {
        case tar.TypeDir:
            fmt.Println("创建目录:", hdr.Name)
            if err := os.MkdirAll(hdr.Name, os.FileMode(hdr.Mode)); err != nil {
                log.Fatal("创建目录失败:", err)
            }

        case tar.TypeReg, tar.TypeRegA:
            fmt.Println("解压文件:", hdr.Name)
            // 确保父目录存在
            if err := os.MkdirAll(filepath.Dir(hdr.Name), 0755); err != nil {
                log.Fatal("创建父目录失败:", err)
            }
            outFile, err := os.Create(hdr.Name)
            if err != nil {
                log.Fatal("创建输出文件失败:", err)
            }
            if _, err := io.Copy(outFile, tarReader); err != nil {
                outFile.Close()
                log.Fatal("写入文件失败:", err)
            }
            outFile.Close()

        default:
            fmt.Printf("跳过非标准条目类型 %d: %s\n", hdr.Typeflag, hdr.Name)
        }
    }
}

// isSafePath 检查路径是否在当前工作目录下，防止 ../ 路径遍历
func isSafePath(path string) bool {
    abs, err := filepath.Abs(path)
    if err != nil {
        return false
    }
    wd, _ := os.Getwd()
    rel, err := filepath.Rel(wd, abs)
    return err == nil && !filepath.IsAbs(rel) && !strings.HasPrefix(rel, ".."+string(filepath.Separator))
}

⚠️ 重要注意事项：路径安全：务必校验 hdr.Name，避免 ../ 路径遍历漏洞（如上 isSafePath 所示），否则恶意归档可能导致任意文件覆盖；权限与模式：hdr.Mode 包含原始 Unix 权限，建议在 os.MkdirAll 和 os.Create 中显式使用 os.FileMode(hdr.Mode) 以保留权限；错误处理：生产环境应避免 log.Fatal，改用结构化错误返回或自定义错误处理器；资源释放：使用 defer f.Close() 确保文件句柄及时释放（示例中已补充）；依赖安装：运行前执行 go get github.com/xi2/xz，该库纯 Go 实现，兼容 Windows/macOS/Linux。

综上，通过组合 archive/tar + github.com/xi2/xz，你可以在 Go 中安全、高效、跨平台地完成 tar.xz 解压任务——无需 cgo、无需 shell 调用，真正实现“一次编写，随处解压”。