为什么客户端会响应他们听到的任何 deauth 请求而不是验证来源？

他们不响应他们听到的任何deauth/disassoc 帧，他们只响应那些寻址到他们并来自他们的 AP MAC 地址的帧。是的，根据 802.11 无线的性质，这将包括带有欺骗源地址的帧。

此外，这是否会在即将发布的 WPA3 标准中得到解决？

不是。首先，WPA3 不是标准，它是从 Wi-Fi 联盟为设备获得特定认证的规范。IEEE 定义了 802.11 无线标准，并且没有工作组致力于更改 802.11i（WFA 的 WPA2 认证所基于）的基本要素。如果您愿意，请在此处查看我的回答，了解更多关于 WPA3 是什么的信息。

其次，没有必要这样做。IEEE 在 2009 年批准的修正案（即 802.11w）中解决了这一问题。问题是企业环境之外的某些供应商对该修正案的支持实施缓慢。在这里查看我的答案以获取更多信息。

在我看来，这将是一个基本的事情，应该作为 WPA2 的一部分来实现，以防止轻易放弃握手并防止有人破坏连接。

802.11i (WPA2) 定义的 PSK 用于基本的个人用途。它旨在简单易用。如果一个实体想要更好的安全性，802.11i 定义了使用 802.1X 和 RADIUS 来提供这种安全性。

为了使用这种技术，攻击者从第三个受害站点的伪造 MAC 地址向另一个站点发送一个解除身份验证数据包。deauthentication 数据包本身没有经过身份验证，这就是这种攻击可能的原因。

该技术可用于多种原因，从“邪恶双胞胎”攻击到针对个人热点的 DOS 攻击。https://en.wikipedia.org/wiki/Wi-Fi_deauthentication_attack有详细信息。

802.11w将身份验证添加到管理帧，从而减轻了这种攻击。