如何在 Go 中解压 tar.xz 压缩包

go 语言原生支持 tar 格式，结合第三方 xz 解压库（如 github.com/xi2/xz），可完全使用纯 go 代码实现 tar.xz 文件的无依赖解压。

在 Go 生态中，标准库 archive/tar 提供了完整的 tar 归档读取能力，但不支持 .xz 压缩层；而 .tar.xz 实质是「XZ 压缩的 TAR 流」，因此需先解压 XZ，再解析 TAR。幸运的是，xi2/xz 是一个成熟、轻量且纯 Go 实现的 XZ 解压库（基于 LZMA2 算法），无需 CGO 或外部依赖，完美适配跨平台构建。

以下是一个完整、健壮的解压示例：

package main  import (     "archive/tar"     "fmt"     "io"     "log"     "os"     "path/filepath"      "github.com/xi2/xz" )  func main() {     f, err := os.Open("myfile.tar.xz")     if err != nil {         log.Fatal("无法打开压缩包:", err)     }     defer f.Close()      // 创建 XZ 解压 Reader（第二个参数为字典大小，0 表示自动探测）     xzReader, err := xz.NewReader(f, 0)     if err != nil {         log.Fatal("XZ 解压初始化失败:", err)     }      // 将 XZ 流传递给 tar.Reader     tarReader := tar.NewReader(xzReader)      // 遍历 tar 中每个条目     for {         hdr, err := tarReader.Next()         if err == io.EOF {             break // 归档结束         }         if err != nil {             log.Fatal("读取 tar 条目失败:", err)         }          // 安全校验：防止路径遍历攻击（关键防护！）         if !isSafePath(hdr.Name) {             log.Fatal("拒绝危险路径:", hdr.Name)         }          switch hdr.Typeflag {         case tar.TypeDir:             fmt.Println("创建目录:", hdr.Name)             if err := os.MkdirAll(hdr.Name, os.FileMode(hdr.Mode)); err != nil {                 log.Fatal("创建目录失败:", err)             }          case tar.TypeReg, tar.TypeRegA:             fmt.Println("解压文件:", hdr.Name)             // 确保父目录存在             if err := os.MkdirAll(filepath.Dir(hdr.Name), 0755); err != nil {                 log.Fatal("创建父目录失败:", err)             }             outFile, err := os.Create(hdr.Name)             if err != nil {                 log.Fatal("创建文件失败:", err)             }             if _, err := io.Copy(outFile, tarReader); err != nil {                 outFile.Close()                 log.Fatal("写入文件失败:", err)             }             outFile.Close()              // 恢复原始权限（tar.Header.Mode 包含权限信息）             if err := os.Chmod(hdr.Name, os.FileMode(hdr.Mode)); err != nil {                 log.Printf("警告：设置权限失败 %s: %v", hdr.Name, err)             }          default:             fmt.Printf("跳过非标准类型条目: %s (type: %d)n", hdr.Name, hdr.Typeflag)         }     } }  // isSafePath 检查路径是否安全，防止 ../ 路径遍历 func isSafePath(path string) bool {     if filepath.IsAbs(path) {         return false     }     clean := filepath.Clean(path)     return !strings.HasPrefix(clean, ".."+string(filepath.Separator)) &&            clean != ".." }

⚠️ 重要注意事项：

• 路径安全第一：务必校验 hdr.Name，避免 ../etc/passwd 类路径遍历漏洞（示例中已内置 isSafePath 函数）；
• 权限还原：tar.Header.Mode 包含 unix 权限位，建议调用 os.Chmod 恢复（windows 下忽略）；
• 错误处理：生产环境应区分 io.EOF 和真实错误，并考虑资源清理（如 defer f.Close()）；
• 内存友好：该方案流式处理，不将整个归档加载到内存，适合大文件；
• 兼容性：xi2/xz 支持 .xz 和 .lzma，但不支持 .txz 别名自动识别（需确保文件扩展名为 .tar.xz）。

总结：借助 archive/tar + github.com/xi2/xz，Go 可以简洁、安全、高效地完成 tar.xz 解压任务，无需 shell 调用或 cgo 依赖，是构建跨平台归档工具的理想选择。