Golang压缩文件教程：zip与tar实战操作

本文深入剖析了Go语言中ZIP与TAR压缩/解压的实战要点与常见陷阱：从zip.FileHeader必须手动设置Name（防路径遍历与冗余路径）和ModTime（避免1980年时间戳异常），到tar.Header需精准区分Typeflag并规范处理目录与文件、统一路径分隔符；澄清ZIP与GZIP本质不同，严禁混用导致生成无效归档；更强调解压时必须校验文件名——拦截../路径和绝对路径，结合双Clean与安全拼接防止目录遍历攻击。每一步看似细微，却直接决定归档的跨平台兼容性、解压可靠性与生产环境安全性。

压缩单个文件到 ZIP 时，zip.FileHeader 的 ModTime 和 Name 必须手动设置

Go 的 archive/zip 不会自动从源文件读取修改时间或补全路径，直接写入会导致 ZIP 中文件时间戳为零值、名称含冗余路径（如 ./data.txt），解压后可能乱序或权限异常。

实操建议：

• Name 字段需用 filepath.Base() 或显式指定相对路径，避免绝对路径（如 /home/user/file.txt）——ZIP 规范不支持，某些解压工具会静默失败
• ModTime 应从 os.Stat() 获取，否则默认是 time.Time{}，Windows 解压器可能显示“1980-01-01”
• 若要保留目录结构，Name 写成 "subdir/file.txt" 即可，无需额外创建目录项

file, _ := os.Open("input.txt")
info, _ := file.Stat()
header, _ := zip.FileHeaderFromFileInfo(info)
header.Name = "input.txt" // 关键：不能留 ./ 或 /
header.ModTime = info.ModTime()
writer, _ := zipWriter.CreateHeader(header)
io.Copy(writer, file)

用 archive/tar 打包目录时，必须递归遍历并手动设置 Header.Typeflag

tar 格式本身不包含“目录打包”语义，它靠 Header.Typeflag 区分普通文件、目录、符号链接等。漏设或错设会导致解包失败（如把目录当成文件读取，报 read: is a directory）。

常见错误现象：打包后 tar 文件能生成，但 tar -xvf 提示 Cannot open: Not a directory 或跳过整个子目录。

实操建议：

• 对每个 os.FileInfo，用 fi.IsDir() 判断，设 Header.Typeflag = tar.TypeDir（非 tar.TypeReg）
• 目录的 Header.Size 必须为 0；文件则必须设为真实字节数，否则解包会卡住或截断
• 路径分隔符统一用 /（即使在 Windows 上），tar 规范不认 \

if fi.IsDir() {
    header.Typeflag = tar.TypeDir
    header.Size = 0
} else {
    header.Typeflag = tar.TypeReg
    header.Size = fi.Size()
}
header.Name = strings.ReplaceAll(filePath, "\\", "/") // 强制转斜杠

gzip.Writer 和 zip.Writer 不能混用：ZIP 内置压缩，GZIP 是流式封装

新手常误以为 “ZIP 就是 GZIP”，试图用 gzip.NewWriter(zipFile) 套娃压缩，结果生成的是无效 ZIP（实际是纯 GZIP 流），unzip 直接报 End-of-central-directory signature not found。

使用场景区分：

• archive/zip + zip.FileHeader.SetMode() → 适合多文件、需目录结构、跨平台解压（Windows/macOS/Linux 原生支持）
• archive/tar + gzip.NewWriter() → 适合单归档+高压缩比，常用于 Linux 发布包（.tar.gz），但需额外依赖 gzip 工具解压
• 不要对 ZIP 文件再套 GZIP —— ZIP 本身已含 DEFLATE 压缩，再压无意义且破坏格式

解压 ZIP 时忽略目录遍历攻击（../../../etc/passwd）必须校验 Header.Name

恶意 ZIP 文件可在 Name 中嵌入 ../ 路径，导致 ExtractFile 写入系统敏感位置。Go 标准库不拦截，完全交由调用者防护。

关键检查点：

• 用 strings.HasPrefix(header.Name, "../") 或更严格地 !strings.HasPrefix(filepath.Clean(header.Name), ".")
• 禁止 filepath.IsAbs(header.Name) —— ZIP 中不该有绝对路径
• 提取目标路径应基于固定根目录拼接：filepath.Join(destDir, filepath.Clean(header.Name))，两次 Clean 防绕过

没做这步，本地测试正常，上线后一个恶意 ZIP 就可能覆盖配置文件或执行脚本。

到这里，我们也就讲完了《Golang压缩文件教程：zip与tar实战操作》的内容了。个人认为，基础知识的学习和巩固，是为了更好的将其运用到项目中，欢迎关注golang学习网公众号，带你了解更多关于的知识点！